Quelle différence entre zero-day et vulnérabilité connue ?

Une vulnérabilité zero-day est inconnue de l'éditeur : aucun correctif n'existe au moment où elle est exploitée. Une vulnérabilité connue dispose d'un CVE (Common Vulnerabilities and Exposures) et généralement d'un correctif, mais elle reste dangereuse tant qu'elle n'est pas appliquée sur les systèmes. Les statistiques montrent que la majorité des attaques exploitent des vulnérabilités connues non patchées — plus accessibles que les zero-day. Les zero-day sont réservées aux attaquants sophistiqués (étatiques, criminels avancés) en raison de leur coût et de leur rareté. Pour la plupart des organisations, patcher rapidement les vulnérabilités connues apporte plus de valeur que se focaliser sur les 0-day.

Combien coûte un zero-day sur le marché ?

Très variable selon la plateforme et la qualité. Les zero-day iOS complets (RCE + escalade de privilèges + persistance) se négocient jusqu'à 2,5 millions de dollars chez des brokers comme Zerodium ou Crowdfense. Les zero-day Android complets atteignent 2 à 2,5 millions également. Windows en RCE : 500 000 à 1 million. Chrome ou Safari : 250 000 à 500 000. WhatsApp ou Signal en exploitation à distance : jusqu'à 2 millions. Les acheteurs sont principalement des agences étatiques occidentales et leurs contractuels. Le marché gris et noir propose des tarifs plus bas mais avec des risques juridiques et techniques importants.

Peut-on se protéger contre un zero-day ?

Pas directement avant son exploitation, mais plusieurs couches de défense réduisent l'impact. Approche de défense en profondeur : EDR avec détection comportementale (pas uniquement signatures), micro-segmentation pour limiter la propagation, Zero Trust et PAM qui limitent les accès d'un compte compromis, durcissement système (ASLR, DEP, EMET pour Windows), sandboxing (navigateurs modernes, conteneurs), principe du moindre privilège. L'objectif n'est pas d'empêcher l'exploitation initiale mais de détecter rapidement les comportements anormaux post-exploitation et de contenir l'attaquant. Pour les populations à très haut risque (journalistes, activistes, hauts fonctionnaires), les modes Lockdown d'iOS et équivalents désactivent les fonctions les plus exposées aux zero-day.

Comment un zero-day est-il découvert ?

Quatre voies principales. Par des chercheurs en sécurité qui cherchent activement des bugs (fuzzing, analyse de code, ingénierie inverse) et les rapportent via des programmes de bug bounty (HackerOne, Bugcrowd, programmes internes) pour récompense. Par des attaquants (étatiques ou criminels) qui les découvrent et les exploitent discrètement. Par les éditeurs eux-mêmes lors d'audits internes ou de revues de code. Par accident, lors d'investigations post-incident où un crash inhabituel révèle une faille. Le cycle vertueux moderne : découverte par chercheur → divulgation coordonnée à l'éditeur → correctif développé → publication coordonnée du patch et du CVE. La divulgation responsable (responsible disclosure) donne généralement 60 à 90 jours à l'éditeur avant publication.

Zero-day : définition, marché et protection face aux vulnérabilités inconnues

Définition: Vulnérabilité inconnue de l'éditeur au moment de l'exploitation
Prix iOS complet: Jusqu'à 2,5 M$ (brokers officiels Zerodium, Crowdfense)
Acheteurs principaux: Agences étatiques, contractuels défense et renseignement
Cas mémorables: Stuxnet (2010), Log4Shell (2021), MOVEit (2023), iOS Pegasus (2016-)
Défense clé: Défense en profondeur — pas de protection unique

01 — DéfinitionQu'est-ce qu'un zero-day ?

Une vulnérabilité zero-day (ou 0-day) est une faille de sécurité dans un logiciel qui est exploitée alors qu'elle est encore inconnue de l'éditeur et du public. Conséquence directe : aucun correctif n'existe, aucune protection n'est spécifiquement conçue contre elle.

Le terme « zero-day » vient du décompte de jours entre la découverte publique d'une vulnérabilité et la mise à disposition d'un correctif par l'éditeur. Un zero-day signifie que ce délai est de zéro : la vulnérabilité est exploitée avant qu'un correctif soit disponible. Par opposition, un « N-day » désigne une vulnérabilité connue depuis N jours, dont le correctif existe mais n'a pas forcément été appliqué partout.

Les zero-day peuvent affecter :

Systèmes d'exploitation : Windows, Linux, macOS, iOS, Android.
Navigateurs : Chrome, Safari, Firefox, Edge.
Applications largement déployées : Microsoft Office, Adobe, Java, Flash (historiquement), applications de messagerie.
Équipements réseau et sécurité : pare-feu, VPN (Fortinet, Palo Alto, Cisco, Ivanti), routeurs, équipements IoT.
Frameworks et composants logiciels : bibliothèques open source (Log4j), frameworks web, bases de données.
Services cloud : failles dans les plateformes SaaS, configurations par défaut exposant à des attaques.

Trois termes souvent confondus qu'il faut distinguer :

Vulnérabilité zero-day : la faille elle-même, inconnue et sans correctif.
Exploit zero-day : le programme qui exploite concrètement cette faille.
Attaque zero-day : l'utilisation d'un exploit contre des cibles réelles.

Un zero-day n'est pas forcément plus dangereux qu'une vulnérabilité connue non patchée. Statistiquement, les organisations subissent bien plus d'attaques via des failles connues non corrigées. Le zero-day est surtout un outil d'attaquants sophistiqués, pas la menace majeure pour la plupart des entreprises.

02 — CycleLa vie d'une vulnérabilité

Phase 1 — Introduction de la vulnérabilité

Le bug est introduit dans le code source du logiciel. Erreur de programmation, mauvaise gestion mémoire, logique défaillante, contrôle d'autorisation manquant. À ce stade, personne ne sait qu'une vulnérabilité existe — pas même le développeur qui vient de l'introduire.

Phase 2 — Période dormante

La vulnérabilité existe mais reste non découverte. Elle peut persister des mois, des années, parfois des décennies. Exemples célèbres de vulnérabilités dormantes longtemps : Shellshock (bash, 25 ans entre introduction et découverte en 2014), Heartbleed (OpenSSL, 2 ans avant découverte en 2014), Dirty COW (Linux kernel, 9 ans avant 2016).

Phase 3 — Découverte

Quelqu'un identifie la vulnérabilité. Plusieurs voies possibles :

Chercheur en sécurité bienveillant : fuzzing, analyse de code, audit. Rapportera via bug bounty ou divulgation coordonnée.
Éditeur lui-même : revue interne, tests, remontée de crash.
Attaquant étatique : pour en faire un outil d'espionnage.
Attaquant criminel : pour monétisation directe ou revente.
Par accident : crash lors d'une investigation, bug report utilisateur.

Phase 4 — Exploitation (le moment critique)

Si la découverte est faite par un attaquant, la vulnérabilité est exploitée discrètement avant que l'éditeur ne soit informé. C'est la phase « zero-day » au sens strict. Les défenses standard sont largement inopérantes. L'exploitation peut durer des semaines, des mois, parfois plus d'un an avant détection.

Phase 5 — Détection et révélation

L'exploitation est détectée, par un éditeur de sécurité, un chercheur, une analyse post-incident. L'éditeur du logiciel est informé. Il commence à développer un correctif.

Phase 6 — Développement et publication du patch

L'éditeur développe le correctif et le publie. La vulnérabilité reçoit un identifiant CVE. Le zero-day devient officiellement une vulnérabilité connue. Le patch est déployé progressivement.

Phase 7 — Exploitation massive (N-day)

Paradoxe bien documenté : une fois la vulnérabilité publique, l'exploitation massive commence. Les attaquants moins avancés développent des exploits à partir des correctifs (reverse engineering du patch), scannent Internet pour trouver les cibles non patchées. L'« exploitation de masse » de la vulnérabilité atteint souvent son pic plusieurs semaines après la publication du patch. D'où l'importance critique de patcher rapidement.

Phase 8 — Déclin

À mesure que les systèmes sont patchés, la vulnérabilité perd sa valeur. Elle reste exploitable contre les systèmes qui n'ont pas été mis à jour — ce qui peut durer des années. Certaines vulnérabilités Windows datant de 2017 (EternalBlue, utilisée par WannaCry et NotPetya) sont encore exploitables en 2026 sur des systèmes non patchés.

03 — MarchéL'économie des zero-day

Trois marchés parallèles

Les zero-day se négocient sur trois marchés distincts :

Marché blanc (programmes de bug bounty)

Les éditeurs et plateformes rémunèrent les chercheurs qui remontent des vulnérabilités. Tarifs typiques en 2026 :

Google : jusqu'à 1 000 000 $ pour une chaîne d'exploit Android ou Chrome.
Apple : jusqu'à 2 000 000 $ pour une chaîne d'exploit iOS complète avec 0-click.
Microsoft : jusqu'à 250 000 $ pour certaines catégories.
Programmes sectoriels : plateformes HackerOne, Bugcrowd, Intigriti avec des tarifs variables.

Ces programmes sont légaux, éthiques, et alimentent un écosystème professionnel de chercheurs en sécurité.

Marché gris (brokers étatiques)

Des sociétés achètent des zero-day pour les revendre à des agences gouvernementales et à des contractuels de défense. Acteurs emblématiques :

Zerodium : publie des grilles tarifaires détaillées, iOS complet jusqu'à 2,5 M$, WhatsApp jusqu'à 2 M$, Windows RCE jusqu'à 1 M$.
Crowdfense : acteur similaire, tarifs comparables.
Divers intermédiaires moins visibles basés dans plusieurs juridictions.

Ce marché est légal dans la plupart des juridictions (avec nuances), mais soulève des questions éthiques majeures. L'accusation principale : ces sociétés préfèrent garder les vulnérabilités secrètes plutôt que d'aider à leur correction, au détriment de la sécurité globale.

Marché noir (criminels)

Sur les forums clandestins, les zero-day sont vendus à des criminels pour des usages divers : ransomware, vol de crypto, espionnage commercial. Les prix sont généralement inférieurs au marché gris, mais la qualité et la fiabilité aussi. Les acheteurs prennent aussi le risque de tomber sur des exploits déjà brûlés (connus des défenseurs).

Qui achète des zero-day ?

Agences de renseignement : NSA, CIA, GCHQ, DGSE, Mossad, FSB, MSS. Pour surveillance ciblée, opérations offensives, espionnage économique.
Forces de l'ordre : FBI, polices nationales, pour enquêtes sur cible après mandat. Certaines utilisations de produits comme Pegasus relèvent de cette catégorie.
Contractuels de défense : sociétés privées qui fournissent des capacités cyber à leurs États clients (Lockheed Martin, Raytheon, filiales discrètes).
Groupes criminels avancés : certaines organisations ransomware disposent de zero-day, mais c'est plus rare qu'on ne le pense — les attaques réussies exploitent généralement des vulnérabilités connues.

Facteurs de prix

Plateforme visée (iOS > Android > Windows > Linux généralement).
Type d'exploitation (0-click > 1-click > interactive).
Chaîne complète (exécution + escalade + persistance) vs exploit isolé.
Fiabilité de l'exploit (haute réussite vs aléatoire).
Rareté (peu de chercheurs travaillent sur la cible vs beaucoup).
Valeur militaire ou de renseignement estimée.

NSO Group et le marché Pegasus

Le cas NSO Group (éditeur israélien du logiciel Pegasus) illustre à grande échelle l'économie des zero-day offensifs. Pegasus combine plusieurs zero-day iOS et Android pour permettre un espionnage complet d'un téléphone après un simple SMS (versions 0-click). Utilisé par une quarantaine de gouvernements pour surveiller journalistes, dissidents, opposants — usage documenté par Citizen Lab, Amnesty International, Forbidden Stories. NSO a été placé sur la Entity List américaine en 2021, et fait l'objet de procès de la part de Meta, Apple et de nombreuses victimes.

04 — CasZero-day emblématiques

Stuxnet (découvert 2010)

Worm sophistiqué découvert en 2010, attribué à une opération conjointe américano-israélienne contre le programme nucléaire iranien. Exploitation de quatre zero-day Windows simultanément — concentration sans précédent à l'époque. Cible : les systèmes SCADA Siemens qui contrôlaient les centrifugeuses d'enrichissement d'uranium à Natanz. Stuxnet a provoqué la destruction physique de centaines de centrifugeuses en accélérant et ralentissant leurs rotations tout en masquant l'anomalie aux opérateurs. Premier cas public documenté de cyberattaque causant un dommage physique majeur.

EternalBlue et WannaCry (2017)

EternalBlue est un exploit SMB développé par la NSA (selon les fuites Shadow Brokers de 2017). Fuité publiquement en avril 2017, il a été intégré un mois plus tard dans WannaCry, ransomware qui a paralysé le NHS britannique, Renault, FedEx, Deutsche Bahn et des centaines de milliers de machines dans plus de 150 pays. Microsoft avait pourtant publié un correctif deux mois plus tôt (MS17-010), mais la majorité des systèmes n'avaient pas été patchés. Exemple emblématique de la transition zero-day → N-day massif. Quelques mois plus tard, NotPetya a utilisé la même vulnérabilité pour provoquer 10 milliards de dollars de dégâts mondiaux.

Log4Shell / Log4j (décembre 2021)

CVE-2021-44228, vulnérabilité critique dans la bibliothèque de logging Apache Log4j, utilisée par des millions d'applications Java à travers le monde. Un simple log d'une chaîne malveillante permettait l'exécution de code à distance. Rendue publique le 9 décembre 2021, elle a déclenché l'une des plus grandes crises de sécurité de la décennie. Particularités :

Omniprésence : Log4j dans les applications Java mais aussi dans Minecraft, Apple iCloud, Steam, Tesla.
Exploitation triviale : un simple payload dans un User-Agent HTTP suffit.
Dépendances imbriquées : difficile de savoir si on utilise Log4j via une dépendance transitive.
Patchs successifs : la correction initiale elle-même contenait une vulnérabilité, nécessitant plusieurs patchs.

Plus de 4 ans après, des systèmes non patchés restent exploitables. Log4Shell est devenu un cas d'école pour illustrer l'importance de la chaîne d'approvisionnement logicielle (SBOM).

MOVEit Transfer (mai-juin 2023)

CVE-2023-34362, vulnérabilité d'injection SQL dans le logiciel de transfert sécurisé de fichiers MOVEit de Progress Software. Exploitée comme zero-day par le groupe ransomware Cl0p depuis mai 2023. Impact massif : plus de 2 500 organisations touchées selon les estimations, données de plus de 95 millions de personnes exfiltrées. Victimes emblématiques : British Airways, BBC, Shell, Ernst & Young, le département de l'Énergie américain, plusieurs universités. Exemple moderne d'exploitation de masse d'un zero-day par un groupe criminel avec des profits estimés à plusieurs dizaines de millions de dollars en rançons.

SolarWinds Orion (décembre 2020)

Pas un zero-day au sens strict mais une attaque de supply chain qui a exploité la position de confiance de SolarWinds pour distribuer du code malveillant via des mises à jour légitimes. Attribué au groupe étatique russe APT29/Cozy Bear. Impact : environ 18 000 organisations ont installé la version backdoorée, avec une attaque ciblée finale sur quelques dizaines de cibles choisies (ministères américains, grands groupes technologiques). A redéfini la prise en compte des risques liés à la chaîne d'approvisionnement logicielle.

Pegasus iOS (2016, 2019, 2021)

Le logiciel Pegasus de NSO Group a utilisé plusieurs chaînes de zero-day iOS successives :

2016 : « Trident » — trois zero-day iOS découvertes par Citizen Lab.
2019 : CVE-2019-3568 dans WhatsApp, exploit 0-click par simple appel manqué.
2021 : FORCEDENTRY (CVE-2021-30860) dans iMessage, exploit 0-click sans interaction.

Ces zero-day iOS valaient plusieurs millions de dollars chacune. Leur usage documenté contre journalistes, activistes et personnalités politiques a fait scandale dans plusieurs pays.

Ivanti Connect Secure / Fortinet / Cisco (2023-2025)

Période particulièrement difficile pour les équipements VPN et pare-feu d'entreprise. Succession de zero-day découvertes sur Ivanti Connect Secure (ex-Pulse Secure), Fortinet FortiGate, Cisco ASA, Palo Alto PAN-OS. Exploitées par des groupes étatiques (chinois notamment) et criminels pour compromettre des dizaines de milliers d'organisations. Ces incidents ont accéléré l'adoption du ZTNA en remplacement des VPN traditionnels.

05 — DivulgationResponsible disclosure et CVD

Le principe de divulgation coordonnée

La divulgation coordonnée de vulnérabilités (Coordinated Vulnerability Disclosure, CVD) est la pratique standard moderne. Le chercheur qui découvre une vulnérabilité :

Contacte l'éditeur en privé, avec détails techniques complets.
Donne un délai raisonnable pour développer un correctif (typiquement 90 jours).
Coordonne la publication du correctif et la divulgation publique.
Obtient crédit et éventuellement récompense via bug bounty.

Google Project Zero

L'équipe Project Zero de Google est particulièrement influente dans ce domaine. Elle pratique une politique stricte : 90 jours de délai fixe après notification, avec 14 jours supplémentaires si l'éditeur s'engage à patcher. Passé ce délai, la vulnérabilité est rendue publique, avec ou sans correctif. Cette politique a été parfois contestée mais a considérablement accéléré les réponses des éditeurs.

Full disclosure

Approche alternative où la vulnérabilité est rendue publique immédiatement, sans laisser de délai à l'éditeur. Minoritaire aujourd'hui, elle reste défendue par certains chercheurs dans des cas spécifiques : éditeur non coopératif, vulnérabilité déjà exploitée activement, éditeur qui refuse de corriger. Approche controversée car elle expose tous les utilisateurs avant qu'un correctif existe.

Cadre français

En France, la loi pour une République numérique de 2016 et diverses évolutions ont précisé le cadre juridique pour les chercheurs de bonne foi qui remontent des vulnérabilités. L'ANSSI joue un rôle de facilitation via sa procédure de signalement des vulnérabilités, qui offre une protection juridique au chercheur qui passe par elle. Des programmes comme YesWeHack (plateforme française de bug bounty) structurent le marché national.

Cadre européen

La directive NIS2 et le Cyber Resilience Act (CRA, entré en application progressive à partir de 2026) renforcent les obligations des éditeurs : déclaration des vulnérabilités activement exploitées dans les 24 heures à l'ENISA, traitement des vulnérabilités documenté, support de sécurité minimum pour une durée raisonnable. Ces textes visent à normaliser la gestion des vulnérabilités au niveau européen.

Divulgation responsable côté utilisateur

Si vous découvrez une vulnérabilité dans un produit que vous utilisez :

Cherchez le programme de bug bounty ou le contact security@ de l'éditeur.
Rédigez un rapport technique précis (reproduction, impact, preuve de concept).
Passez par l'ANSSI ou un CERT si l'éditeur n'est pas coopératif.
Ne publiez pas avant que le correctif soit disponible et déployé.
Conservez les traces de vos communications en cas de litige.

06 — ProtectionDéfense en profondeur

Principe fondamental — accepter qu'on ne peut pas tout bloquer

Un zero-day bien exécuté ne peut pas être empêché au point d'entrée par construction — la faille est inconnue.
L'objectif n'est pas la prévention mais la détection rapide et la limitation de l'impact.
Chaque couche ajoutée réduit la probabilité de succès complet de l'attaque.

Détection comportementale (EDR et XDR)

Les signatures traditionnelles sont inefficaces contre les zero-day.
Les EDR modernes détectent les comportements post-exploitation : création de processus inhabituels, injections mémoire, activités suspectes.
Le XDR corrèle les signaux entre endpoints, réseau, cloud pour identifier les patterns d'attaque.
Les modèles ML anticipent certaines techniques d'exploitation même sur des failles inconnues.

Durcissement système

Mécanismes anti-exploitation : ASLR (randomisation mémoire), DEP (protection d'exécution), CFI (Control Flow Integrity).
Sandboxing des applications exposées (navigateurs modernes, conteneurs).
Systèmes avec mode renforcé : iOS Lockdown Mode, Android StrongBox, Qubes OS.
Moindre privilège systémique : chaque application ne dispose que des autorisations strictement nécessaires.

Limitation de la propagation

Micro-segmentation pour empêcher le déplacement latéral après compromission.
Zero Trust et ZTNA pour limiter les accès même en cas de compte compromis.
PAM avec accès just-in-time pour limiter la valeur d'un compte volé.
Administrative Tier Model Active Directory pour isoler les comptes à privilèges.

Threat Intelligence et veille

Suivi du catalogue CISA KEV (Known Exploited Vulnerabilities) qui liste les vulnérabilités activement exploitées.
Abonnement aux bulletins CERT-FR et alertes des éditeurs utilisés.
Threat intelligence pour détecter les IOC liés à des campagnes actives.
Canaux de communication rapide : emails, Slack, pagers pour les incidents majeurs.

Capacité de réponse rapide

Processus de patch d'urgence capable de déployer en quelques heures sur les systèmes critiques.
Règles de détection personnalisables et déployables rapidement (Sigma, YARA).
Procédures d'isolement d'urgence (couper un système, segmenter un sous-réseau).
Plan de reprise d'activité testé pour les scénarios majeurs.
Équipe de réponse interne ou externe (MDR, contrat CSIRT on-demand).

Réduction de la surface

Inventaire exhaustif des composants logiciels (SBOM — Software Bill of Materials).
Désactivation des services et fonctionnalités non utilisés.
Exposition Internet minimale — moins de services exposés, moins de surface pour les zero-day.
Standardisation pour limiter la diversité des composants à surveiller.

07 — N-dayLe vrai risque pour la majorité

Statistiques parlantes

Les rapports Verizon DBIR, Mandiant M-Trends, CISA, et les études académiques convergent : la majorité écrasante des compromissions exploite des vulnérabilités connues non patchées, pas des zero-day. Quelques chiffres :

Plus de 80% des attaques réussies utilisent des vulnérabilités publiées depuis plus d'un an.
De nombreux incidents majeurs exploitent des CVE de 3 à 5 ans.
Certaines vulnérabilités de 2017 (Log4Shell anciennes, EternalBlue) restent exploitables en 2026.

Pourquoi les patches ne sont pas appliqués

Compatibilité applicative : peur de casser des applications qui fonctionnent.
Interruption de service : certains patches nécessitent redémarrage.
Inventaire incomplet : on ne peut pas patcher ce qu'on ne sait pas avoir.
Ressources limitées : les équipes ops sont submergées.
Absence de priorisation : trop de CVE « critiques », pas de distinction sur ce qui est réellement exploité.
Systèmes anciens : éditeur disparu, application qui ne supporte pas les versions récentes.

Priorisation moderne

L'approche traditionnelle par score CVSS donne trop de priorités égales (des milliers de CVE « critiques »). L'approche moderne combine plusieurs signaux :

CVSS : gravité théorique.
EPSS (Exploit Prediction Scoring System) : probabilité d'exploitation dans les 30 jours.
CISA KEV : vulnérabilités documentées comme activement exploitées.
Exposition : le système est-il accessible depuis Internet ?
Criticité métier : quel impact si ce système est compromis ?

Cette approche réduit considérablement le nombre de vulnérabilités à patcher en urgence, permettant de concentrer les ressources sur ce qui compte.

Le message essentiel

Pour la plupart des organisations, investir dans le patch management est beaucoup plus rentable qu'investir dans une protection spécifique contre les zero-day. Les zero-day sont le problème des agences gouvernementales et des organisations à très haut profil. Pour la majorité, la priorité est de : inventorier les actifs, maintenir un rythme de patch disciplinés, prioriser sur EPSS et CISA KEV, couvrir les angles morts (équipements réseau, applications métier anciennes, IoT).

08 — FAQQuestions fréquentes

Combien de zero-day sont découverts par an ?

Les statistiques de Google Project Zero, Mandiant et d'autres observateurs convergent autour de 100 à 200 zero-day exploités in the wild par an en moyenne sur 2020-2025, avec une tendance à la hausse. Les plateformes les plus ciblées sont Microsoft (Windows, Exchange, Office), Apple (iOS, macOS, Safari), Google (Chrome, Android) et les équipements réseau (Fortinet, Ivanti, Cisco). Ce chiffre ne compte que les zero-day détectés — il existe probablement beaucoup d'exploitations non découvertes.

Les antivirus détectent-ils les zero-day ?

Les antivirus traditionnels (basés sur signatures) sont largement inefficaces contre les zero-day par définition — pas de signature existante. Les EDR modernes ajoutent de la détection comportementale qui peut repérer certaines exploitations par leurs effets (injection mémoire, création de processus suspect, anomalies systémiques). Les solutions les plus avancées combinent ML, analyse comportementale et indicateurs contextuels, mais aucune n'est parfaite.

Le Lockdown Mode d'iOS protège-t-il vraiment ?

Oui, de manière significative, mais au prix de fonctionnalités. Le Lockdown Mode désactive de nombreuses fonctions d'iOS particulièrement exposées (aperçus iMessage enrichis, certains types de pièces jointes, appels FaceTime d'inconnus, profils de configuration, service web assistant). Depuis 2022, Apple n'a pas documenté de cas de compromission réussie via Pegasus ou équivalent sur un téléphone en Lockdown Mode. Recommandé pour : journalistes, activistes, personnalités politiques, chefs d'entreprise à haut profil, diplomates. Les contraintes d'usage rendent ce mode peu adapté à l'utilisateur standard.

La France achète-t-elle des zero-day ?

Oui, via la DGSE et la DGSI dans le cadre légal du renseignement. La France dispose de capacités cyber offensives reconnues, développées en interne et via des achats sur le marché gris. Le budget exact n'est pas public. L'ANSSI, côté défensif, ne pratique pas l'acquisition offensive mais collecte les informations via la coopération internationale et les recherches de ses équipes. Cette dualité offensif/défensif existe dans tous les pays avancés en cyber.

Les bug bounties protègent-ils réellement ?

Partiellement mais significativement. Les bug bounties alignent les incitations : un chercheur peut gagner autant (voire plus chez certains éditeurs) en rapportant qu'en vendant au marché gris. Cela capture une part importante des vulnérabilités découvertes par la communauté. Mais : les agences étatiques peuvent toujours payer plus, les chercheurs ne trouvent pas toutes les vulnérabilités, et certaines catégories d'exploits (chaînes complexes 0-click) restent plus rentables sur le marché gris. Les bug bounties sont un outil nécessaire mais pas suffisant.