Longtemps cantonnées aux navigateurs et aux smartphones, les attaques zero-day changent aujourd’hui de visage. En 2024, les cybercriminels ont visé d’abord les maillons les plus sensibles de l’infrastructure numérique mondiale : les équipements réseau, les systèmes de sécurité et les logiciels déployés dans les entreprises. Derrière cette stratégie ciblée, le spectre du cyberespionnage apparaît plus que jamais structurant.

D’après le rapport annuel du Google Threat Intelligence Group (GTIG), 75 vulnérabilités zero-day ont été activement exploitées en 2024, contre 98 en 2023. Ce recul apparent masque une transformation profonde des méthodes d’attaque. La baisse du nombre brut ne reflète pas un désintérêt des hackers, mais un redéploiement de leurs efforts vers des cibles plus rentables et plus stratégiques. En effet, les années précédentes avaient vu les navigateurs web et les systèmes mobiles faire figure de premières lignes dans les campagnes d’exploitation.

Ce n’est plus le cas. En 2024, les failles zero-day ciblant les navigateurs sont passées de 17 à 11, avec Chrome concentrant à lui seul 7 vulnérabilités, contre une seule pour Firefox. Ce glissement traduit l'évolution des priorités : plutôt que d’atteindre l’utilisateur final, les attaquants cherchent désormais à pénétrer plus profondément les systèmes. Les appareils mobiles connaissent également un relatif répit. GTIG a identifié 9 failles zero-day sur mobile, contre 17 l’année précédente. Le système Android reste le plus exposé, en particulier via des composants tiers partagés entre plusieurs fabricants. Trois des vulnérabilités recensées proviennent de ces briques logicielles communes, ce qui multiplie leur potentiel de nuisance.

Windows, éternelle cible privilégiée

À l’inverse, les assauts contre les postes de travail, et plus particulièrement le système Windows, reprennent de la vigueur. Avec 22 failles zero-day exploitées contre 16 un an plus tôt, Microsoft reste dans le viseur. La faille CVE-2024- 21338, touchant AppLocker, illustre la gravité de certaines brèches. Elle permet de contourner les protections du noyau et de désactiver des outils de sécurité critiques.

Tant que Windows conservera sa position dominante, il continuera d’alimenter les arsenaux numériques. Le changement le plus significatif de l’année réside dans la focalisation sur les équipements réseau professionnels et les logiciels de cybersécurité eux-mêmes. En 2024, 33 des 75 failles recensées (soit 44%) visaient des produits destinés aux environnements professionnels, contre 37 % en 2023. L’analyse de Vulncheck, spécialiste des vulnérabilités, confirme cette tendance. En 2024, l’entreprise a recensé 768 vulnérabilités CVE exploitées dans la nature, soit une hausse de 20% par rapport à 2023. Près d’un quart (23,6%) de ces failles ont été exploitées avant la publication d’un correctif, ce qui les classe dans la catégorie zero-day. À mesure que le temps passe, le risque augmente : 50% des failles sont exploitées dans les 192 jours suivant leur découverte, et 75% le sont dans un délai de trois ans.

Le Maroc face à une double alerte

Si le Maroc n’a pas encore été la cible directe d’attaques zero-day confirmées, deux événements survenus à quelques semaines d’intervalle ont mis en lumière l’extrême vulnérabilité de son écosystème numérique. Le premier choc est intervenu le 18 mars 2025, lorsque la société spécialisée Cypherleak a révélé une fuite massive de plus de 31.000 identifiants bancaires marocains.

Ces données, mises en vente sur le dark web, comprenaient des informations critiques : numéros de carte bancaire, adresses e-mail et mots de passe associés. À peine trois semaines plus tard, le 8 avril 2025, un groupe de hackers a revendiqué une cyberattaque contre la Caisse nationale de sécurité sociale (CNSS). Sur leur chaîne Telegram, les pirates ont diffusé des captures d’écran, des fichiers Excel et des documents internes contenant des données personnelles de près de deux millions d’assurés marocains. Pour Hassan Bensaadoune, consultant en cybersécurité à Rabat, ces deux affaires, bien que distinctes, traduisent un point commun.

«Le Maroc paie aujourd’hui le prix de son retard en matière de sécurité applicative et de gestion des risques numériques. Ce ne sont pas des attaques sophistiquées, mais elles exploitent des brèches laissées béantes depuis des années», explique-t-il. Et d’ajouter que «les infrastructures critiques sont mal préparées. Les protocoles de sécurité comme SPF, DMARC ou DNSSEC restent largement absents des domaines marocains, et les audits de sécurité sont rares». Ces deux incidents successifs – la fuite bancaire révélée par Cypherleak et le piratage contre la CNSS – agissent comme un électrochoc. Pour beaucoup, ils annoncent l’inévitable entrée du Maroc dans une nouvelle ère de menaces numériques actives, où les attaques zero-day ne viseront plus uniquement les grandes puissances, mais aussi les économies intermédiaires insuffisamment protégées.