Google vient de publier son rapport annuel sur les failles zero-day. En 2025, son équipe de renseignement a comptabilisé 90 vulnérabilités exploitées avant d'être corrigées. Près de la moitié visaient des équipements d'entreprise, un record, et les vendeurs de spyware passent en tête du classement pour la première fois.

90 failles, 43 contre les entreprises

Le Google Threat Intelligence Group a suivi 90 failles zero-day exploitées dans la nature en 2025, contre 78 en 2024 et 100 en 2023. Le chiffre global reste dans la même fourchette, mais la répartition a changé. 43 de ces failles ciblaient du matériel ou des logiciels d'entreprise, soit 48 % du total. C'est du jamais vu.

L'année précédente, on en comptait 36, et en 2023 seulement 30. 21 failles concernaient des logiciels de sécurité et des appliances réseau, et 14 visaient des équipements en bordure de réseau : routeurs, passerelles VPN, pare-feu. Le problème, c'est que ces appareils ne disposent pas d'outils de détection classiques, ce qui en fait des cibles idéales pour les attaquants.

Les vendeurs de spyware passent devant les États

Sur les 42 failles dont l'origine a pu être identifiée, 15 viennent de vendeurs commerciaux de logiciels espions, des sociétés comme NSO Group, Intellexa ou Candiru. C'est la première fois qu'ils dépassent les groupes soutenus par des États dans le décompte annuel.

Côté opérations gouvernementales, 12 failles sont attribuées à des acteurs étatiques, dont 7 liées à la Chine. Les cybercriminels « classiques » arrivent derrière avec 9 failles. Microsoft reste l'éditeur le plus ciblé, suivi de Google avec 11 failles et Apple avec 8. L'exploitation des navigateurs est au plus bas, mais celle des systèmes d'exploitation grimpe.

L'IA devrait accélérer la tendance

Google prévient que ça ne va pas se calmer. Les équipements réseau d'entreprise vont continuer à attirer les attaquants, et l'IA devrait accélérer la découverte de nouvelles vulnérabilités. Les éditeurs ont quand même fait des progrès : certaines catégories de failles ont pratiquement disparu grâce aux investissements en sécurité.

Sauf que voilà, les attaquants s'adaptent et se tournent vers les surfaces les moins protégées. Les appareils en bordure de réseau, qui gèrent du trafic sensible sans la moindre supervision, sont devenus la cible de choix.

Quoi qu'il en soit, 90 failles zero-day en un an, ça fait beaucoup. Et quand les vendeurs de spyware commercial passent devant les agences gouvernementales dans le classement, on comprend que l'espionnage numérique est devenu un business comme un autre.

Sources : Bleeping Computer , The Register

MuddyWater, un groupe de hackers rattaché aux services de renseignement iraniens, s'est infiltré dans les réseaux d'une banque, d'un aéroport et d'un éditeur de logiciels américains avec deux nouvelles portes dérobées. L'opération, repérée par Symantec, s'est intensifiée après les frappes américaines et israéliennes sur l'Iran fin février.

Deux portes dérobées inédites

C'est l'équipe Threat Hunter de Symantec qui a levé le lièvre. Depuis début février 2026, le groupe MuddyWater (aussi connu sous le nom de Seedworm) a déployé deux malwares jusqu'ici inconnus. Le premier, Dindoor, utilise Deno, un environnement d'exécution JavaScript, et a été signé avec un certificat émis au nom d'une certaine "Amy Cherne".

Le second, Fakeset, est codé en Python et signé par un certain "Donald Gay", un nom déjà lié à d'anciens outils du groupe comme Stagecomp et Darkcomp. Dans les deux cas, les attaquants ont tenté d'exfiltrer des données vers le cloud Wasabi via Rclone, un outil de synchronisation bien connu des administrateurs système.

Des cibles sensibles, un lien avec Israël

Côté victimes, on retrouve une banque américaine, un aéroport, un éditeur de logiciels lié à la défense et à l'aérospatiale qui a des opérations en Israël, et des ONG aux Etats-Unis et au Canada. MuddyWater était déjà présent sur ces réseaux début février, mais l'activité a nettement augmenté après le 28 février et le lancement de l'opération Epic Fury, les frappes militaires coordonnées des Etats-Unis et d'Israël contre l'Iran.

Les frappes ont conduit à la mort du guide suprême Ali Khamenei le 1er mars, et les chercheurs notent que les opérations cyber iraniennes se sont accélérées dans la foulée.

Le FBI confirme le lien avec Téhéran

Le FBI, la CISA et le NCSC britannique considèrent que MuddyWater opère pour le compte du ministère iranien du Renseignement depuis 2018. Ce qui facilite le rattachement, c'est la réutilisation de certificats de signature entre les nouvelles portes dérobées et les outils plus anciens du groupe.

Google, Microsoft et Kaspersky ont d'ailleurs confirmé l'analyse de Symantec. Quant à l'objectif exact, les chercheurs restent prudents : espionnage, collecte de renseignements, ou préparation de futures actions de sabotage, difficile de trancher. Le groupe privilégie en général le phishing et l'exploitation de vulnérabilités dans des applications exposées sur Internet pour s'introduire dans les réseaux.

Le plus étonnant dans cette histoire, c'est la durée. Des semaines d'infiltration sans que personne ne bronche, sur des réseaux qui ne sont pas exactement anodins. Et avec le conflit actuel entre l'Iran, les Etats-Unis et Israël, on se doute bien que Symantec n'a gratté que la surface.

Sources : Security.com , Cyble

Le Discord Game SDK, c'est ce petit bout de code que les devs de jeux vidéo intègrent pour afficher votre statut, gérer les invitations entre potes... sauf que dans ARC Raiders, le truc ouvrait carrément une connexion complète au serveur Discord. Du coup, vos DMs privés se retrouvaient jusqu'il y a peu, logués en clair sur votre disque dur.

C'est Timothy Meadows, un ingénieur en sécurité, qui a découvert le pot aux roses. En fouillant dans les fichiers de log du jeu (le chemin exact c'est AppData\Local\PioneerGame\Saved\Logs\discord.log), il est tombé sur des conversations privées Discord en clair.

Et cerise sur le gâteau, le fichier contenait aussi le Bearer token d'authentification Discord du joueur. En gros, la clé qui donne accès à TOUT votre compte !

Le problème vient du fait que le SDK se connecte avec un token utilisateur complet, exactement comme le ferait l'app Discord elle-même. La gateway pousse alors tous les events vers cette connexion, y compris les messages privés.

Sauf que le jeu ne filtre rien et balance TOUT dans un fichier log sur le disque. Ce n'est donc pas une backdoor volontaire mais juste du code mal branlé qui ne trie pas ce qu'il reçoit.

Meadows a bien sûr tenté de signaler la faille à Embark Studios un mois avant de rendre l'info publique. Mais comme d'hab, pas de réponse et pas de bug bounty non plus...

Du coup, il a publié tranquillou ses trouvailles sur son blog le 3 mars et Embark a réagi 2 jours plus tard avec un hotfix qui désactive enfin le logging du SDK.

Seuls les joueurs ayant lié leur compte Discord à ARC Raiders sont touchés et c'est peut-être votre cas.... Mais bon, vu que le jeu vous le propose dès l'installation, y'a probablement pas mal de monde dans le lot.

Le token Bearer avait une durée de validité d'environ 167 heures (en gros, une semaine), ce qui laisse une sacrée fenêtre pour quiconque aurait accès au fichier log. Un malware, un pote curieux, un PC partagé en LAN... les scénarios ne manquent pas... Suite à cela, Embark a sorti le communiqué classique en mode "vos données n'ont pas quitté votre machine, on n'a rien lu, on ne lira rien". OK, cool story bro, sauf que le vrai souci c'est pas Embark en fait, c'est Discord car leur SDK donne un accès beaucoup trop large aux devs tiers.

Car quand vous liez votre compte à un jeu, vous pensez autoriser l'affichage de votre pseudo et de votre statut et pas du tout l'accès à vos DMs. D'ailleurs, après l'incident, la page d'autorisations du jeu est passée de "cette application ne peut PAS lire vos messages" à "cette application PEUT lire et envoyer des messages". Hop, ni vu ni connu !

Côté protection, c'est pas la mer à boire, suffit de changer votre mot de passe Discord dans les réglages de l'app (ça invalide tous les tokens actifs), et désactivez l'intégration Discord dans les paramètres d'ARC Raiders, puis supprimez le fichier discord.log dans le dossier du jeu.

Attention, si vous êtes du genre parano, faites aussi le ménage dans vos autorisations Discord, parce que ARC Raiders est sûrement pas le seul jeu à avoir ce genre de problème...

Bref, méfiez-vous des jeux qui demandent à se connecter à votre Discord... c'est pas la première fois que ça tourne mal !

Source