Qu'est-ce que la détection des vulnérabilités « zero-day » ?
La détection des menaces « zero-day » consiste à identifier les fichiers malveillants avant qu'une signature correspondante n'existe dans les bases de données antivirus. Les outils antivirus traditionnels sont par nature réactifs : ils ne peuvent bloquer que les menaces que leur éditeur a déjà répertoriées. Le délai entre la première apparition d'une menace et le moment où les éditeurs d'antivirus produisent un modèle de détection constitue la fenêtre d'opportunité dont profitent les pirates.
En bref / Points clés à retenir
- Selon l'analyse de détection des vulnérabilités « zero-day » OPSWAT en 2026 sur plus d'un million de fichiers, les moteurs antivirus traditionnels ont pris en moyenne 3,0 jours de retard dans la détection de ces vulnérabilités, l'exposition maximale pouvant atteindre 26,7 jours
- Seuls 3,7 % des menaces « zero-day » ont été détectées par les moteurs antivirus traditionnels dans les 24 heures suivant leur première apparition
- Les fichiers de type script et document présentent systématiquement les durées d'exposition les plus longues, les documents Office affichant en moyenne un retard de 6,9 jours par rapport à leur détection
- Environ 20,8 % des vulnérabilités « zero-day » présentes dans l'ensemble de données ont finalement été détectées par les moteurs antivirus traditionnels ; une part importante d'entre elles présentaient des temps de réponse si longs qu'elles n'offraient pratiquement aucune protection
- MetaDefender fournit un verdict unique, assorti d'un niveau de confiance, pour chaque fichier, grâce à un pipeline de détection à quatre niveaux qui ne repose pas sur la reconnaissance de signatures
Les antivirus traditionnels souffrent d'un problème de synchronisation
Les antivirus traditionnels détectent les menaces en comparant les fichiers à une base de données contenant les signatures de logiciels malveillants connus. Un fichier qui ne correspond à aucun modèle existant peut passer entre les mailles du filet. Cette dépendance structurelle vis-à-vis des connaissances préalables crée un délai mesurable et exploitable entre le moment où une menace apparaît et celui où l'antivirus peut la bloquer.
D'après notre analyse de la détection des vulnérabilités « zero-day » en 2026, portant sur plus d'un million de fichiers détectés, les moteurs antivirus traditionnels ont pris en moyenne 3,0 jours de retard dans la détection de ces vulnérabilités, avec une médiane de 2,0 jours. Dans le pire des cas, l'exposition a atteint 26,7 jours. Seuls 3,7 % des menaces de type « zero-day » du jeu de données ont été détectées par les moteurs antivirus traditionnels dans les 24 heures. Environ 3 % ont mis plus d'une semaine avant de faire l'objet d'une réponse de détection.
Remarque sur la méthodologie: la moyenne sur 3,0 jours exclut les fichiers présentant des temps de réponse antivirus très longs et ceux pour lesquels aucun historique de correspondance de signature n'est disponible. L'ensemble de données complet reflète un éventail plus large de résultats. Les données sous-jacentes présentent également un taux de faux positifs faible, mais non nul.
Tout commence par des moments comme celui-ci. Au moment de l'analyse, aucun des 20 moteurs antivirus que nous avons utilisés n'avait signalé le fichier, et aucun service de réputation ne l'avait répertorié. La menace était déjà confirmée.
La plupart des failles « zero-day » ne correspondent jamais à un modèle connu
Le problème de détection s'aggrave lorsque les moteurs antivirus ne parviennent tout simplement pas à trouver de signature correspondant à une menace. D'après notre analyse, environ 20,8 % des fichiers « zero-day » ont finalement été détectés par les moteurs antivirus traditionnels. Environ 17,9 % ne présentaient aucun antécédent de correspondance de signature, ce qui les place totalement en dehors du catalogue de tous les moteurs antivirus analysés. On estime que 54 % d'entre eux ont donné lieu à des temps de réponse antivirus si longs qu'ils ne constituent pratiquement aucune protection dans la pratique. Il convient de noter que ce chiffre, comme les autres, comporte un taux de faux positifs faible mais non nul et doit être considéré comme indicatif.
Même lorsque les moteurs antivirus finissent par rattraper leur retard, leur couverture reste limitée. Lors d'une nouvelle analyse effectuée plus tard, seuls trois de ces 20 moteurs antivirus avaient détecté une correspondance pour ce même fichier. La majorité n'avait toujours rien trouvé.
La détection basée sur des modèles exige qu'un fournisseur observe, analyse et répertorie une menace avant qu'une protection ne soit possible. Face à des logiciels malveillants inédits ou délibérément dissimulés, ce processus peut soit ne jamais aboutir, soit aboutir trop tard pour être efficace.
Les principaux lacunes de la détection antivirus traditionnelle
Tous les types de fichiers ne présentent pas le même niveau de risque lorsque la détection antivirus est retardée. D'après notre analyse, ce sont les fichiers de type script et les documents qui présentent systématiquement les périodes d'exposition les plus longues, et ce sont justement ces types de fichiers que l'on retrouve dans presque tous les flux de travail d'entreprise.
Type de fichier | Nombre moyen de jours avant la détection d'une menace par les antivirus traditionnels |
Documents Office | environ 6,9 jours |
PowerShell | environ 6,3 jours |
Scripts VBS | environ 4,9 jours |
HTA | environ 3,5 jours |
PE (fichiers exécutables) | environ 3,1 jours |
Les documents bureautiques et les formats de script figurent en tête de liste précisément parce que leur complexité rend la génération de signatures plus difficile. Les macros, les objets intégrés et les logiques d'exécution en plusieurs étapes offrent aux pirates une plus grande surface d'attaque et imposent aux éditeurs d'antivirus un travail plus considérable avant de pouvoir définir un modèle fiable.
Les fichiers PE (Portable Executable) occupent la dernière place du classement en matière de délai de détection, mais ils restent exposés en moyenne pendant plus de trois jours sans être détectés. Pour les fichiers exécutables qui pénètrent dans des environnements d'infrastructures critiques, des processus de mise à jour ou des flux de fichiers réglementés, un délai de trois jours est inacceptable.
Pourquoi les méthodes de détection traditionnelles sont à la traîne
La détection par signature fonctionne en comparant un fichier à une bibliothèque de signatures de logiciels malveillants connus. Lorsqu'une correspondance est détectée, le fichier est bloqué. En l'absence de correspondance, le fichier est autorisé. Ce modèle repose entièrement sur l'expérience acquise : une menace doit avoir été observée, analysée et répertoriée avant qu'une protection ne soit possible. Face à un fichier inconnu, cette procédure n'a pas encore été effectuée.
Cette limite structurelle a toujours existé. Ce qui a changé, c'est la vitesse à laquelle les pirates sont capables de générer de nouvelles variantes. Les cybercriminels ont désormais recours à l'IA et à l'apprentissage automatique pour produire à grande échelle des logiciels malveillants dissimulés et insaisissables, en créant des fichiers spécialement conçus pour ne correspondre à aucune signature existante. Chaque variante générée est techniquement nouvelle pour les bases de données antivirus, même si la logique d'attaque sous-jacente ne l'est pas.
Les techniques d'évasion ne font qu'aggraver le problème. Les auteurs de logiciels malveillants créent régulièrement des fichiers conçus pour ne correspondre à aucune menace répertoriée au point d'entrée, en recourant à des techniques telles que :
- Compression et chiffrement pour masquer le contenu des fichiers
- Polymorphisme permettant de générer des variants structurellement uniques
- Livraison en plusieurs étapes afin de retarder l'exécution des actions malveillantes jusqu'après l'entrée
- Contrôles des conditions d'exécution qui suspendent l'activité jusqu'à ce qu'un point final réel soit atteint
Les outils basés sur la signature ne disposent d'aucun mécanisme permettant d'anticiper ces séquences. Il en résulte un modèle de détection dont l'efficacité diminue à mesure que les outils des attaquants gagnent en sophistication. L'écart entre la première apparition et la première détection ne se comble pas rapidement de lui-même. Au contraire, il ne cesse de se creuser.
Comment nous détectons les menaces avant même qu'une correspondance de modèle n'existe
MetaDefender est une solution unifiée de détection des menaces « zero-day » conçue pour identifier les fichiers malveillants qui ne peuvent être détectés par la seule comparaison de signatures. Plutôt que de se contenter de vérifier si un fichier correspond à un modèle connu, MetaDefender pose quatre questions de plus en plus approfondies sur chaque fichier qui lui est soumis, puis combine les réponses pour aboutir à un verdict unique assorti d'un niveau de confiance.
Niveau 1 : Réputation des menaces (efficacité de 48,7 %)
Chaque fichier entrant dans le pipeline est analysé par rapport aux bases de données OPSWAT d'informations sur les menaces OPSWAT . Les fichiers malveillants connus sont immédiatement bloqués. Les fichiers fiables sont traités en priorité. D'après notre analyse, cette couche a à elle seule permis de neutraliser 48,7 % des menaces, préservant ainsi la capacité du pipeline et évitant un traitement inutile des fichiers qui ne nécessitent pas d'inspection plus approfondie.
Couche 2 : Adaptive via l'émulation au niveau des instructions (efficacité cumulative de 83,4 %)
Les fichiers qui passent le filtre de réputation sont acheminés vers le bac à sable adaptatif MetaDefender . Plutôt que d'utiliser des machines virtuelles, ce bac à sable émule le code au niveau des instructions du processeur et du système d'exploitation pour plus de 120 types de fichiers. Cette approche oblige les fichiers à exécuter l'intégralité de leur code, qu'ils détectent ou non un environnement virtualisé. Les logiciels malveillants capables de détecter les machines virtuelles, qui resteraient autrement inactifs, ne peuvent pas masquer leur comportement dans le cadre d'une émulation au niveau des instructions. Les IOC (indicateurs de compromission) nouvellement découverts à ce niveau sont réinjectés dans le niveau 1, renforçant ainsi la base de données de réputation à chaque cycle d'analyse.
Un moteur de signature détecte un script obscurci et ne trouve aucune correspondance. L'émulation permet néanmoins au fichier de s'exécuter. Dès qu'il déchiffre sa charge utile cachée et la charge en mémoire, son objectif devient évident.
Niveau 3 : Évaluation des menaces basée sur l'apprentissage automatique (efficacité cumulative de 99,3 %)
Plusieurs moteurs d'apprentissage automatique analysent les signaux comportementaux, les schémas d'anomalies et les indicateurs de compromission (IOC) extraits de la couche de sandbox. Chaque fichier se voit attribuer un score de risque structuré et pondéré en fonction du niveau de confiance. Les données de télémétrie brutes sont transformées en un signal décisionnel clair, ce qui réduit les faux positifs et allège la charge de travail des analystes, habituellement alourdie par les résultats fragmentés des différents outils.
Analysez vos fichiers gratuitement à l'aide de nos moteurs de détection sur filescan.io/scan.
Niveau 4 : Recherche par similarité basée sur l'IA (efficacité cumulative de 99,9 %)
La dernière couche compare l'empreinte comportementale de chaque fichier à une base de données contenant plus de 100 millions d'échantillons de logiciels malveillants analysés. Les fichiers sont automatiquement classés dans des familles de menaces, des campagnes et des kits d'attaque connus dès lors qu'une correspondance est détectée. Les fichiers pour lesquels aucune correspondance n'a été trouvée sont transformés en nouvelles données de renseignement, enrichissant ainsi les modèles de détection tant globaux que locaux. Cette couche porte l'efficacité cumulative de la détection à 99,9 %.
MetaDefender face aux approches traditionnelles Sandbox d'antivirus
Les solutions de type « sandbox » traditionnelles et celles basées sur des machines virtuelles (VM) traitent chacune une partie du problème de la détection des vulnérabilités « zero-day », mais aucune ne fournit de verdict global tenant compte à la fois de la réputation, du comportement, de la notation et de la recherche de similitudes. Le tableau ci-dessous compare les performances de chaque approche au regard des fonctionnalités les plus importantes au niveau du périmètre.
Capacité | Moteurs antivirus traditionnels | Sandbox basée sur une machine virtuelle | MetaDefender |
Méthode de détection | Basé sur des modèles | Comportemental (isolé) | Pipeline unifié à quatre niveaux |
Résistance à l'évasion | Faible | Moyen (détectable par VM) | Élevé (émulation au niveau des instructions) |
Délai avant le verdict | Décalage de 0 à plus de 26 jours | Variable | En temps quasi réel |
Intégration SIEM/SOAR | En quantité limitée | Corrélation manuelle | Structuré, natif |
Utilisation rationnelle des ressources | Faible | Haute puissance de calcul | 100 fois plus rapide qu'un bac à sable basé sur une machine virtuelle |
Type de verdict | Correspondance/non-correspondance | Rapport par outil | Verdict unique avec note de confiance |
Les sandbox basées sur des machines virtuelles améliorent la détection par signature en observant le comportement des fichiers lors de leur exécution. Le problème, c'est que les auteurs de logiciels malveillants le savent. Les vérifications d'environnement, les délais d'exécution et l'empreinte digitale des machines virtuelles permettent aux menaces sophistiquées de détecter qu'elles se trouvent dans une sandbox et de retarder leur comportement malveillant jusqu'à ce qu'elles atteignent un terminal réel. L'émulation au niveau des instructions élimine complètement cette possibilité de contournement.
Le déficit en ressources est également significatif à l'échelle du périmètre. Le sandboxing basé sur des machines virtuelles nécessite d'importantes ressources de calcul par fichier. MetaDefender offre une efficacité des ressources 100 fois supérieure à celle des approches basées sur des machines virtuelles, en combinant une émulation au niveau des instructions avec un pipeline en couches qui ne transfère vers un niveau supérieur que les fichiers nécessitant une analyse plus approfondie.
Pour en savoir plus sur les principales différences entre les sandbox traditionnelles et adaptatives, cliquez ici.
Quand utiliser la détection des menaces « zero-day » à la place ou en complément de la technologie Deep CDR™
La technologie Deep CDR™ et MetaDefender répondent à des besoins différents. Il est important de bien comprendre cette distinction pour les architectes de sécurité chargés de concevoir des workflows d'inspection des fichiers, en particulier dans les environnements soumis à une réglementation stricte ou dans les infrastructures critiques.
La technologie Deep CDR™ neutralise de manière proactive les menaces liées aux fichiers en supprimant les contenus potentiellement malveillants, notamment les macros, les scripts et les objets intégrés, de plus de 200 types de fichiers, puis en régénérant une version propre et entièrement utilisable. Cette technologie ne repose pas sur la détection. Un fichier est assaini, qu'une menace soit finalement confirmée ou non. Pour les flux de travail basés sur des documents où les fichiers peuvent être reconstruits en toute sécurité, la technologie Deep CDR™ élimine la menace avant qu'elle n'ait la moindre chance de s'exécuter.
Pour en savoir plus sur le fonctionnement de ce système, consultez notre article précédent ici.
MetaDefender est l'outil idéal lorsque les fichiers ne peuvent pas être modifiés. Les fichiers exécutables, les fichiers de correctifs, les micrologiciels, les programmes d'installation et les scripts doivent rester intacts, octet par octet, pour fonctionner. Il n'est pas envisageable de les nettoyer. Les documents soumis à une réglementation dans les secteurs de la santé, du droit et de la finance peuvent également être soumis à des exigences légales ou de conformité qui interdisent toute modification. Pour ces types de fichiers, l'analyse dynamique est la seule méthode d'inspection viable.
Ces deux technologies ne s'opposent pas l'une à l'autre. Dans la pratique, la plupart des environnements d'entreprise et d'infrastructures critiques gèrent à la fois des types de fichiers modifiables et non modifiables au sein des mêmes flux de travail. La technologie Deep CDR™ traite les documents et les formats bureautiques pouvant être reconstitués en toute sécurité. MetaDefender gère les fichiers qui ne peuvent pas être modifiés. Ensemble, elles assurent une couverture complète de tous les types de fichiers entrant dans un environnement.
Les menaces « zero-day » n'attendent pas qu'une signature soit disponible, et vos défenses ne devraient pas non plus.
Questions fréquemment posées
Quelle est la différence entre la détection des menaces « zero-day » et les antivirus traditionnels ?
Les antivirus traditionnels détectent les menaces en comparant les fichiers à une base de données contenant les signatures de logiciels malveillants connus. La détection « zero-day » identifie les menaces pour lesquelles il n'existe aucune signature en analysant le comportement, la réputation et les caractéristiques structurelles des fichiers. MetaDefender combine quatre niveaux d'analyse pour émettre un verdict sur les fichiers avec une efficacité de 99,9 %, alors que les outils antivirus traditionnels les laisseraient passer sans les signaler.
Combien de temps faut-il aux moteurs antivirus traditionnels pour détecter une menace « zero-day » ?
Selon l'analyse de détection des vulnérabilités « zero-day » OPSWAT en 2026 sur plus d'un million de détections de fichiers, les moteurs antivirus traditionnels ont accusé un retard moyen de 3,0 jours dans la détection de ces vulnérabilités, avec une médiane de 2,0 jours. Dans le pire des cas, l'exposition a atteint 26,7 jours. Seules 3,7 % des menaces de type « zero-day » ont fait l'objet d'une réponse de détection antivirus dans les 24 heures. La moyenne de 3,0 jours exclut les fichiers présentant des temps de réponse très longs et ceux ne disposant d'aucun historique de correspondance de signature ; l'ampleur totale de l'exposition est donc plus importante que ne le suggère ce chiffre à lui seul.
Quels sont les types de fichiers les plus difficiles à détecter pour les antivirus ?
Les types de fichiers basés sur des scripts et des documents présentent systématiquement le délai de détection antivirus le plus long. Dans l'analyse OPSWAT en 2026, les documents Office affichaient un retard moyen de 6,9 jours avant détection, les fichiers PowerShell de 6,3 jours et les scripts VBS de 4,9 jours. Ces types de fichiers étant présents dans presque tous les flux de travail d'entreprise, cette fenêtre d'exposition revêt une importance opérationnelle considérable.
Comment l'émulation au niveau des instructions permet-elle de contrer les logiciels malveillants capables de détecter les machines virtuelles ?
Les logiciels malveillants sensibles à la virtualisation ont recours à des vérifications de l'environnement, à des délais d'exécution et à l'identification de la virtualisation pour détecter s'ils s'exécutent dans un bac à sable et pour suspendre leur comportement malveillant. L'émulation au niveau des instructions contourne ces techniques en émulant directement au niveau du processeur et du système d'exploitation, plutôt qu'en exécutant une machine virtuelle complète. Le fichier ne dispose d'aucun moyen fiable de distinguer l'environnement émulé d'un terminal réel, ce qui rend beaucoup plus difficile la suspension de son exécution et expose un comportement qui, autrement, resterait caché.
MetaDefender remplace-t-il un bac à sable ?
MetaDefender intègre le sandboxing adaptatif parmi ses quatre couches de détection, mais il ne s'agit pas d'un produit de sandboxing autonome. Il combine l'évaluation de la réputation des menaces, l'émulation au niveau des instructions, la notation des menaces basée sur l'apprentissage automatique et la recherche de similitudes alimentée par l'IA au sein d'un pipeline unique qui fournit un verdict noté en fonction du niveau de confiance pour chaque fichier. Les entreprises qui remplacent une sandbox autonome basée sur une machine virtuelle par MetaDefender bénéficient d'une meilleure résistance aux techniques d'évasion, d'une couverture de détection plus étendue et d'une réduction significative de la charge sur les ressources.
