Enlarge your surveillance

Après avoir initialement été utilisés pour cibler des dissidents, défenseurs des droits humains et journalistes, les logiciels espions seraient de plus en plus utilisés pour cibler des banquiers et des cadres supérieurs fortunés.

Le National Cyber Security Centre (qui fait partie du GCHQ, le service de renseignement technique britannique) estime qu’une centaine de pays se sont procurés des logiciels espions, a appris POLITICO.

En 2023, le NCSC estimait qu’ils étaient plus de 80, et soulignait que « la prolifération et l’utilisation irresponsable d’outils de piratage commerciaux » constitueront « une menace croissante pour les organisations et les individus à l’échelle mondiale au cours des cinq prochaines années ».

• Plus de 80 pays ont acheté des logiciels espion et de cyberintrusion

Dans un rapport intitulé « La menace de la cyberprolifération commerciale », le centre prévenait que « les logiciels espions, les pirates informatiques à louer et l’accès à d’autres capacités cybernétiques devraient faire l’objet d’une demande croissante à l’échelle mondiale, ce qui entraînera très certainement une menace accrue pour un large éventail d’industries » :

« Au cours de la dernière décennie, plus de 80 pays ont acheté des logiciels de cyberintrusion, et certains États les ont certainement utilisés de manière irresponsable pour cibler des journalistes, des militants des droits de l’homme, des dissidents et des opposants politiques, ainsi que des représentants de gouvernements étrangers. En outre, le développement du marché des pirates informatiques à louer accroît le risque de ciblage imprévisible ou d’escalade involontaire. »

Les banquiers et cadres fortunés, nouvelles cibles des logiciels espions

Le NCSC souligne aujourd’hui que le champ d’action des logiciels espions se serait depuis « élargi », les banquiers et cadres supérieurs fortunés étant de plus en plus souvent pris pour cibles, relève nos confréres.

À lui seul, NSO, dont le logiciel Pegasus a longtemps été considéré comme le plus puissant du marché, dénombrait de son côté 22 utilisateurs actifs de son logiciel espion dans 12 pays européens, en 2022.

Du fait des scandales rattachés aux cibles identifiées de Pegasus, et du fait que les États-Unis l’avaient placé sur sa liste noire, le ministère israélien de la Défense avait réduit le nombre de pays autorisés à importer ces systèmes de 102 à 37.

• NSO dénombre 22 utilisateurs actifs de son logiciel espion Pegasus dans 12 pays européens

Acculée, l’entreprise israélienne a depuis été rachetée par un groupe d’investisseurs dirigé par un producteur hollywoodien, qui en a confié la direction à David Friedman. Ancien avocat d’affaires ayant notamment défendu les intérêts de Donald Trump dans le cadre des faillites de ses casinos d’Atlantic City, il avait été nommé ambassadeur des États-Unis en Israël de 2017 à 2021, sous la première présidence de Donald Trump.

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Le bouleversement géopolitique le plus profond de l’histoire moderne »

Dans son discours d’ouverture de CYBERUK 2026, le principal évènement britannique dédié à la cybersécurité, Richard Horne, CEO du NCSC, se compare à un conducteur de voiture, en plein ouragan, sur un tronçon étroit, demandant à son navigateur comment conduire, sans visibilité au-delà de son capot.

Évoquant la carte du nombre grandissant de « no-fly zones » interdites de survol, du fait des risques d’interférences GPS, et des conflits armés en cours, il estime que « nous vivons actuellement le bouleversement géopolitique le plus profond de l’histoire moderne » :

« Comme l’a déclaré en décembre Blaise Metreweli, le chef du MI6, notre monde est aujourd’hui plus dangereux et plus disputé qu’il ne l’a été depuis des décennies. Nous évoluons dans un espace situé entre la paix et la guerre. »

Quatre « incidents d’importance nationale » par semaine

En octobre, il avait indiqué que le NCSC traitait en moyenne quatre « incidents d’importance nationale » par semaine. Si les chiffres restent relativement stables, il constate cela dit un changement quant à l’origine de ces attaques :   

« Les activités criminelles telles que les ransomwares restent la menace la plus répandue pour la grande majorité des organisations, mais la plupart des incidents d’importance nationale dont mes équipes s’occupent actuellement proviennent, directement ou indirectement, d’États-nations. »

Les services de renseignement et forces armées chinoises « font désormais preuve d’un niveau de sophistication impressionnant dans leurs opérations cybernétiques », précise-t-il. Le NCSC estime que l’Iran recourt « très certainement » à des cyberattaques pour soutenir la répression à l’encontre de citoyens britanniques, considérés comme une menace pour le régime.

La Russie, de son côté, « met à profit les enseignements tirés de ses expériences cybernétiques sur le théâtre des opérations et les applique au-delà du champ de bataille » contre les États qu’elle considère comme hostiles.

Enlarge your surveillance

Après avoir initialement été utilisés pour cibler des dissidents, défenseurs des droits humains et journalistes, les logiciels espions seraient de plus en plus utilisés pour cibler des banquiers et des cadres supérieurs fortunés.

Le National Cyber Security Centre (qui fait partie du GCHQ, le service de renseignement technique britannique) estime qu’une centaine de pays se sont procurés des logiciels espions, a appris POLITICO.

En 2023, le NCSC estimait qu’ils étaient plus de 80, et soulignait que « la prolifération et l’utilisation irresponsable d’outils de piratage commerciaux » constitueront « une menace croissante pour les organisations et les individus à l’échelle mondiale au cours des cinq prochaines années ».

• Plus de 80 pays ont acheté des logiciels espion et de cyberintrusion

Dans un rapport intitulé « La menace de la cyberprolifération commerciale », le centre prévenait que « les logiciels espions, les pirates informatiques à louer et l’accès à d’autres capacités cybernétiques devraient faire l’objet d’une demande croissante à l’échelle mondiale, ce qui entraînera très certainement une menace accrue pour un large éventail d’industries » :

« Au cours de la dernière décennie, plus de 80 pays ont acheté des logiciels de cyberintrusion, et certains États les ont certainement utilisés de manière irresponsable pour cibler des journalistes, des militants des droits de l’homme, des dissidents et des opposants politiques, ainsi que des représentants de gouvernements étrangers. En outre, le développement du marché des pirates informatiques à louer accroît le risque de ciblage imprévisible ou d’escalade involontaire. »

Les banquiers et cadres fortunés, nouvelles cibles des logiciels espions

Le NCSC souligne aujourd’hui que le champ d’action des logiciels espions se serait depuis « élargi », les banquiers et cadres supérieurs fortunés étant de plus en plus souvent pris pour cibles, relève nos confréres.

À lui seul, NSO, dont le logiciel Pegasus a longtemps été considéré comme le plus puissant du marché, dénombrait de son côté 22 utilisateurs actifs de son logiciel espion dans 12 pays européens, en 2022.

Du fait des scandales rattachés aux cibles identifiées de Pegasus, et du fait que les États-Unis l’avaient placé sur sa liste noire, le ministère israélien de la Défense avait réduit le nombre de pays autorisés à importer ces systèmes de 102 à 37.

• NSO dénombre 22 utilisateurs actifs de son logiciel espion Pegasus dans 12 pays européens

Acculée, l’entreprise israélienne a depuis été rachetée par un groupe d’investisseurs dirigé par un producteur hollywoodien, qui en a confié la direction à David Friedman. Ancien avocat d’affaires ayant notamment défendu les intérêts de Donald Trump dans le cadre des faillites de ses casinos d’Atlantic City, il avait été nommé ambassadeur des États-Unis en Israël de 2017 à 2021, sous la première présidence de Donald Trump.

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Le bouleversement géopolitique le plus profond de l’histoire moderne »

Dans son discours d’ouverture de CYBERUK 2026, le principal évènement britannique dédié à la cybersécurité, Richard Horne, CEO du NCSC, se compare à un conducteur de voiture, en plein ouragan, sur un tronçon étroit, demandant à son navigateur comment conduire, sans visibilité au-delà de son capot.

Évoquant la carte du nombre grandissant de « no-fly zones » interdites de survol, du fait des risques d’interférences GPS, et des conflits armés en cours, il estime que « nous vivons actuellement le bouleversement géopolitique le plus profond de l’histoire moderne » :

« Comme l’a déclaré en décembre Blaise Metreweli, le chef du MI6, notre monde est aujourd’hui plus dangereux et plus disputé qu’il ne l’a été depuis des décennies. Nous évoluons dans un espace situé entre la paix et la guerre. »

Quatre « incidents d’importance nationale » par semaine

En octobre, il avait indiqué que le NCSC traitait en moyenne quatre « incidents d’importance nationale » par semaine. Si les chiffres restent relativement stables, il constate cela dit un changement quant à l’origine de ces attaques :   

« Les activités criminelles telles que les ransomwares restent la menace la plus répandue pour la grande majorité des organisations, mais la plupart des incidents d’importance nationale dont mes équipes s’occupent actuellement proviennent, directement ou indirectement, d’États-nations. »

Les services de renseignement et forces armées chinoises « font désormais preuve d’un niveau de sophistication impressionnant dans leurs opérations cybernétiques », précise-t-il. Le NCSC estime que l’Iran recourt « très certainement » à des cyberattaques pour soutenir la répression à l’encontre de citoyens britanniques, considérés comme une menace pour le régime.

La Russie, de son côté, « met à profit les enseignements tirés de ses expériences cybernétiques sur le théâtre des opérations et les applique au-delà du champ de bataille » contre les États qu’elle considère comme hostiles.

Bruce Schneier Facts

Grâce à l’IA, les vulnérabilités sont désormais exploitées par des logiciels malveillants en moins de 24 heures, en moyenne, et de plus en plus souvent avant même d’avoir été identifiées par les acteurs de la cybersécurité. L’accélération est telle que de nombreux professionnels appellent à un sursaut « géopolitique », arguant du fait qu’il ne s’agit pas d’un « problème technique ».

L’analyse de 3 530 vulnérabilités exploitées par des acteurs malveillants depuis 2018 indique que s’il fallait auparavant attendre entre un et deux ans en moyenne après la découverte d’une vulnérabilité avant que son exploitation ne soit confirmée, depuis 2021, la confirmation arrive en moins d’un an. Le délai est passé à 5 mois depuis 2023, 56 jours depuis 2024, 23 jours en 2025, et 20 heures cette année. Dans le même temps, le nombre d’exploits utilisés à des fins malveillantes a doublé, passant de moins de 250 par an à plus ou moins 500.

Vibe-codé le mois dernier par Sergej Epp, ex-CISO (RSSI, pour responsable de la sécurité des systèmes d’information) de Palo Alto Networks, zerodayclock.com relève également que le pourcentage de vulnérabilités exploitées avant d’être découvertes (dites failles ou exploits « zero day ») est passé de 20 % environ jusqu’en 2020 à plus de 50 % en 2025. Le taux s’établit d’ores et déjà à plus de 72 % en 2026.

Et si moins de 50 % de ces vulnérabilités étaient exploitées dans les trois mois suivant leurs découvertes jusqu’en 2021, 80 % l’étaient en moins de deux mois l’an passé, et 100 % le sont en moins de 50 jours cette année.

La chronologie de ce que Sergej Epp qualifie d’ « effondrement » (« collapse » en VO) montre que le délai médian entre la découverte d’une vulnérabilité et son exploitation était de 771 jours en 2018, et que les entreprises et organisations disposaient donc de plus de deux ans pour appliquer les correctifs.

En 2023, ce délai est tombé à 6 jours, puis 4 heures en 2024. En 2025, la majorité des vulnérabilités étaient déjà exploitées avant même d’être rendues publiques. Un problème devenu « systémique » avec l’IA :

« Lorsqu’un éditeur de logiciels publie un correctif de sécurité, l’IA est désormais capable de procéder à une ingénierie inverse de ce correctif, d’identifier la vulnérabilité qu’il corrige et de générer en quelques minutes un exploit opérationnel à des fins malveillantes. Les attaques peuvent commencer à se propager à travers le monde en quelques heures. Or, les entreprises ont besoin en moyenne de 20 jours pour tester et déployer ce même correctif. »

Dit autrement, « le fait de corriger une vulnérabilité accélère désormais son exploitation. La défense engendre l’attaque. Et l’attaque survient des semaines avant que la défense ne puisse achever son déploiement ».

Le « paradoxe du patch »