Rapport Google : les failles logicielles ont dépassé les mots de passe volés comme principal vecteur d'intrusion dans les systèmes cloud
Le rapport Threat Horizons H1 2026 de Google révèle que les vulnérabilités logicielles exploitées représentent désormais 44,5 % des intrusions cloud, dépassant pour la première fois le vol de credentials depuis la création du rapport.
VaultTools · 11 mars 2026
Photo sur Unsplash
Table des matières
- Ce que le rapport révèle
- Les vulnérabilités dépassent les credentials pour la première fois
- La fenêtre qui se rétrécit entre divulgation et attaque
- Le stockage cloud comme canal d’exfiltration
- Ce que cela signifie pour le choix des outils de fichiers
- Sources
Ce Que Le Rapport Révèle
Le 11 mars 2026, Google Cloud a publié son treizième rapport Threat Horizons, une analyse semestrielle des menaces actives dans les environnements Google Cloud et les infrastructures cloud d’entreprise. Le rapport couvre les incidents observés au cours du second semestre 2025 et s’appuie sur le renseignement du Google Threat Intelligence Group (GTIG).
Le constat principal rompt un schéma qui tenait depuis le lancement de la série en 2021 : l’exploitation de vulnérabilités logicielles a supplanté le vol ou l’abus de credentials comme principale méthode utilisée par les attaquants pour obtenir un accès initial aux systèmes cloud.
Les Vulnérabilités Dépassent Les Credentials Pour La Première Fois
Au second semestre 2025, les vulnérabilités logicielles représentaient 44,5 % des vecteurs d’accès initial dans les intrusions cloud observées. Les credentials faibles ou absents sont tombés à 27,2 %, en forte baisse par rapport à 47,1 % au premier semestre 2025. Les incidents d’exécution de code à distance (RCE) ont augmenté de près de cinq fois dans ce même intervalle, passant de 2,9 % à 13,6 %.
Ce glissement reflète un changement de comportement chez les attaquants. Plutôt que d’attendre d’acquérir des credentials valides par phishing ou achat sur les marchés du dark web, les acteurs de la menace analysent de plus en plus les applications tierces non corrigées et exploitent directement les vulnérabilités connues. Le rapport note que les cibles comprenaient aussi bien des charges de travail Google Compute Engine que Google Kubernetes Engine, et que les attaquants ciblaient principalement des CVE documentés publiquement.
L’abus de credentials n’a pas disparu. Le rapport documente également des attaques de phishing vocal où des acteurs de la menace se faisaient passer pour du personnel informatique interne afin de pousser les services d’assistance à réinitialiser les credentials et à désactiver l’authentification multifacteur. Mais l’abus de credentials n’est plus le premier vecteur d’entrée.
La Fenêtre Qui Se Rétrécit Entre Divulgation Et Attaque
Le deuxième constat majeur concerne la vitesse. Les données de Google montrent que le délai entre la divulgation publique d’une vulnérabilité et son exploitation active dans des attaques cloud est passé de plusieurs semaines à quelques jours.
Un cas documenté concerne une vulnérabilité d’exécution de code à distance dans une couche applicative tierce. Google a observé des acteurs de la menace déployer un logiciel de minage de cryptomonnaies dans environ 48 heures suivant la divulgation publique de la vulnérabilité. L’exploitation était automatisée et ne nécessitait aucun ciblage humain d’organisations spécifiques.
Cette accélération est significative car elle supprime la fenêtre de remédiation sur laquelle reposent les processus de gestion des correctifs. Les cycles de correction en entreprise fonctionnent selon des calendriers de jours à semaines. Lorsque les attaquants peuvent exploiter une faille divulguée en deux jours, ces cycles n’offrent aucune protection pour l’intervalle entre l’annonce et le déploiement du correctif.
Le Stockage Cloud Comme Canal D’exfiltration
Un constat secondaire du rapport porte sur le vol de données par des personnes internes. Les plateformes de stockage cloud sont devenues le canal à la croissance la plus rapide pour l’exfiltration de données par des personnes internes disposant d’un accès légitime. Le rapport constate que l’utilisation du stockage cloud personnel a dépassé l’email comme méthode d’exfiltration préférée, et que les personnes internes combinaient fréquemment plusieurs méthodes lors d’un même incident.
Cette tendance est structurellement différente des menaces liées aux vulnérabilités et aux credentials décrites ci-dessus. Elle ne nécessite pas d’attaquant externe. Un employé disposant d’un accès autorisé à des documents téléverse ces fichiers vers un compte cloud personnel. Les documents quittent l’organisation sans déclencher la plupart des outils de détection endpoint, car le téléversement ressemble à une activité cloud normale.
Le rapport n’a pas identifié de contre-mesure technique à ce schéma au-delà des outils de visibilité et des contrôles d’accès.
Ce Que Cela Signifie Pour Le Choix Des Outils De Fichiers
Les données de Google pointent vers deux risques distincts mais se renforçant mutuellement, associés aux outils de traitement de fichiers basés sur le cloud.
Le premier est le risque d’infrastructure. Lorsqu’un utilisateur téléverse un fichier dans un outil de conversion, compression ou édition en ligne, ce fichier atterrit sur une infrastructure serveur faisant tourner des piles logicielles tierces. Les données Threat Horizons montrent que les vulnérabilités logicielles dans les environnements cloud sont désormais exploitées dans les 48 heures suivant leur divulgation. Les outils choisis par un utilisateur pour ses tâches courantes de fichiers fonctionnent sur cette infrastructure.
Le second est le schéma d’exfiltration. Les outils de fichiers hébergés dans le cloud exigent que les utilisateurs téléversent des documents avant le traitement. Pour les fichiers sensibles, ce téléversement est structurellement identique au comportement d’exfiltration interne décrit par le rapport : un fichier se déplace d’un appareil local vers un environnement cloud, où la visibilité et le contrôle sur sa gestion ultérieure appartiennent à l’opérateur de la plateforme, pas à l’utilisateur.
Les outils qui fonctionnent entièrement dans le navigateur grâce à WebAssembly suppriment ces deux vecteurs. Le fichier n’est jamais transmis à un serveur, il n’y a donc aucune infrastructure cloud à compromettre et aucun téléversement à intercepter ou conserver. Le traitement se fait localement et le résultat reste sur l’appareil de l’utilisateur. Les résultats de Google Threat Horizons étayent l’argument architectural en faveur du traitement local en des termes qui vont au-delà des préférences individuelles en matière de confidentialité pour entrer dans le domaine du risque opérationnel mesurable.
Sources
- Cloud Threat Horizons Report H1 2026 (Google Cloud)
- Software vulnerabilities push credential abuse aside in cloud intrusions (Help Net Security)
- Cloud Attackers Now Prefer Vulnerability Exploits Over Credentials (Infosecurity Magazine)
- Google Cloud Security Threat Horizons Report #13 (H1 2026) Is Out! (Anton on Security, Medium)
- Cloud CISO Perspectives: New Threat Horizons report highlights current cloud threats (Google Cloud Blog)