Imaginez un instant : votre téléphone, cet objet que vous touchez des centaines de fois par jour, est silencieusement compromis. Pas par un adolescent en quête de gloire sur un forum, mais par une entité extrêmement sophistiquée, disposant de moyens colossaux et qui connaît vos failles avant même que vous, ni même Apple ou Google, ne les aient identifiées. C’est exactement ce scénario qui s’est produit fin 2025, poussant les deux géants de la tech à dégainer des correctifs d’urgence en l’espace de quelques jours seulement.

Nous sommes en décembre 2025, et l’année s’achève sur un rappel brutal : même les systèmes les mieux protégés au monde ne sont pas à l’abri des attaques zero-day les plus élaborées. Apple et Google, deux forteresses que l’on croyait imprenables, ont dû reconnaître publiquement avoir été pris de vitesse par des attaquants d’un niveau exceptionnel.

Quand les géants de la tech courent après leurs propres failles

Le 10 décembre 2025, Google publie une mise à jour critique pour Chrome sans tambour ni trompette particulier. Une simple mention dans le bulletin de sécurité : un bug de type type confusion est activement exploité dans la nature. Rien d’autre. Pas de détails techniques, pas d’indication sur la gravité réelle, pas même le traditionnel « nous sommes au courant que des attaquants ciblent activement ce bug ». Rien.

Pour les observateurs aguerris de la cybersécurité, ce silence inhabituel est déjà un signal fort. Google ne fait jamais dans la demi-mesure quand il s’agit de communiquer sur les exploits « in the wild ». S’ils restent aussi discrets, c’est qu’il y a une raison très sérieuse.

Deux jours plus tard, le voile se lève partiellement. Google complète son bulletin : la vulnérabilité a été découverte conjointement par l’équipe sécurité d’Apple et le Google Threat Analysis Group (TAG), cette unité ultra-spécialisée qui traque principalement les acteurs étatiques et les marchands de spyware mercenaires.

« Quand le Threat Analysis Group et l’équipe sécurité d’Apple travaillent ensemble sur une même vulnérabilité, cela signifie généralement que l’on parle d’un acteur extrêmement sérieux, avec des moyens hors normes. »

Un analyste cybersécurité anonyme ayant travaillé avec plusieurs gouvernements occidentaux

Apple sort l’artillerie lourde le même jour

Le vendredi 12 décembre, alors que la communauté sécurité digère encore l’information Google, Apple dégaine pas moins de trois bulletins de sécurité simultanés couvrant :

  • iOS & iPadOS
  • macOS
  • Safari
  • watchOS
  • visionOS
  • tvOS

Jamais dans l’histoire récente de Cupertino on n’avait vu un tel déploiement d’urgence simultané sur autant de plateformes différentes le même jour. Le message est clair : le danger est systémique et touche potentiellement l’ensemble de l’écosystème Apple.

Dans son advisory iOS, Apple emploie une formulation très rare et très codée :

« Apple est au courant d’un rapport selon lequel ce problème a pu être activement exploité contre des individus ciblés lors d’une attaque extrêmement sophistiquée. »

Traduction en langage clair : des personnes très précises ont été infectées par un spyware de niveau militaire utilisant au moins deux zero-days dans la chaîne d’attaque.

Qui sont vraiment les cibles de ces attaques ?

Quand Apple et Google parlent conjointement d’« attaque extrêmement sophistiquée » et d’« exploitation contre des individus ciblés », le spectre des cibles possibles se réduit drastiquement. On ne parle plus de campagnes de masse, mais de quelques dizaines, voire quelques centaines de cibles maximum dans le monde.

Le profil type des victimes de ce genre d’opérations inclut généralement :

  1. Des journalistes d’investigation travaillant sur des sujets sensibles
  2. Des responsables politiques de l’opposition dans des régimes autoritaires
  3. Des militants des droits humains particulièrement actifs
  4. Des diplomates ou employés d’ambassades en poste dans des zones sensibles
  5. Des cadres de grandes entreprises stratégiques (énergie, défense, télécoms)
  6. Quelques rares chercheurs ou lanceurs d’alerte très haut placés

Le coût d’une telle chaîne d’exploitation (souvent 2 à 4 zero-days différents) est estimé entre 2,5 et 8 millions de dollars selon les experts du marché gris. Cela donne une idée du niveau de valeur perçue des cibles pour les commanditaires.

Les leçons techniques de ces vulnérabilités critiques

La vulnérabilité Chrome corrigée (CVE-2025-XXXX – le numéro exact n’a pas été rendu public immédiatement) était de type type confusion dans le moteur JavaScript V8. Ce genre de bug, lorsqu’il est combiné à d’autres failles, permet de passer d’un contexte sandbox JavaScript à l’exécution de code arbitraire sur le système.

Du côté Apple, deux failles ont été corrigées dans le composant WebKit (moteur de rendu utilisé par Safari et toutes les applications iOS qui embarquent un composant web) :

  • Une corruption de mémoire lors du traitement de certains contenus web
  • Une élévation de privilèges dans le kernel

La combinaison des deux permettait théoriquement de sortir complètement de la sandbox WebKit, puis de compromettre le kernel, donc l’ensemble du système. Une chaîne d’exploitation complète et terrifiante pour sa simplicité relative une fois les zero-days obtenus.

Le rôle central du Threat Analysis Group de Google

Le Threat Analysis Group n’est pas n’importe quelle équipe de sécurité. Composée d’une trentaine de chercheurs d’élite, elle se focalise presque exclusivement sur :

  • Les campagnes d’espionnage étatiques
  • Les fournisseurs de spyware mercenaires (NSO Group, Candiru, QuaDream, Variston, Intellexa, etc.)
  • Les acteurs qui développent et vendent des outils d’intrusion zéro-clic

Quand TAG s’implique personnellement dans la découverte d’une vulnérabilité, cela signifie que l’exploit observé provient très probablement de l’un des acteurs que le groupe suit au quotidien. Et quand Apple publie le même jour des correctifs similaires, le doute n’est plus permis : on est face à une campagne d’espionnage gouvernementale de très haut niveau.

L’évolution du marché du spyware mercenaire en 2025-2026

Depuis le scandale Pegasus de 2021, beaucoup pensaient que le secteur des fournisseurs de spyware pour gouvernements allait se calmer. Il n’en est rien. Au contraire :

  • NSO Group, malgré les sanctions américaines, continue d’opérer via des structures parallèles
  • De nouveaux acteurs (souvent issus d’anciens employés de NSO ou de Candiru) ont émergé
  • Les prix des exploits zero-day ont encore augmenté
  • La demande des gouvernements reste très forte, notamment dans la région MENA, en Asie centrale et dans certains pays d’Amérique latine

Le fait que des chaînes d’attaque zero-click touchent à la fois iOS et Chrome montre que les attaquants diversifient désormais leurs vecteurs d’infection, anticipant les durcissements de chaque plateforme.

Comment se protéger quand même les géants sont touchés ?

Même si la très grande majorité des utilisateurs ne seront jamais la cible de ce type d’attaque, plusieurs bonnes pratiques restent essentielles :

  1. Installez systématiquement les mises à jour dès leur disponibilité
  2. Activez le mode « Verrouillage » (Lockdown Mode) si vous pensez être une cible potentielle
  3. Évitez de cliquer sur des liens douteux, même envoyés par des contacts connus
  4. Utilisez un mot de passe fort + authentification à deux facteurs hardware
  5. Envisagez l’utilisation d’un téléphone secondaire « propre » pour les communications sensibles
  6. Soyez extrêmement prudent avec les applications tierces installées

Pour les journalistes, militants et personnes à risque élevé, des organisations comme l’Access Now, le Citizen Lab ou Amnesty International proposent désormais des programmes d’assistance technique dédiés.

Vers une nouvelle ère de la guerre numérique ?

Cet épisode de décembre 2025 marque probablement un tournant. Pour la première fois, on observe une synchronisation quasi parfaite entre les équipes sécurité des deux plus grands écosystèmes mobiles de la planète face à une menace commune.

Les États continuent d’investir massivement dans les capacités offensives numériques, tandis que les entreprises de défense technologique doivent courir toujours plus vite pour colmater des failles qui valent plusieurs millions chacune sur le marché noir.

Dans ce contexte, la question n’est plus de savoir si de nouvelles campagnes zero-day seront découvertes en 2026, mais quand et contre qui elles seront utilisées. Une chose est sûre : les prochaines mises à jour critiques ne seront probablement pas très loin.

Et vous, restez-vous vigilant face à ces menaces ultra-ciblées ? Ou pensez-vous que cela ne concerne que « les autres » ?

La réalité de la cybersécurité en 2026 est sans doute plus proche qu’on ne le croit.

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,