Paris, le 21 octobre 2025 – WatchGuard® Technologies, leader mondial de la cybersécurité unifiée pour les fournisseurs de services managés (MSP), publie aujourd’hui les conclusions de son dernier rapport trimestriel sur la sécurité d’Internet, une analyse trimestrielle détaillant les principales menaces en matière de malwares, de sécurité réseau et endpoint observées par les chercheurs du WatchGuard Threat Lab entre avril et juin, soit au deuxième trimestre 2025.
Le rapport délivre les enseignements suivants :
> Une hausse de 40 % des malwares avancés et furtifs (par rapport au trimestre précédent).
> Les canaux chiffrés constituent désormais le vecteur d’attaque privilégié des cybercriminels, qui exploitent le protocole TLS (Transport Layer Security), utilisé pour sécuriser la majorité du trafic web. Bien que le TLS soit essentiel à la protection des utilisateurs, les attaquants l’exploitent de plus en plus pour dissimuler des charges malveillantes.
> Globalement, les détections de malwares ont augmenté de 15 % au 2ème trimestre 2025, portées par une hausse de 85 % du Gateway AntiVirus (GAV) et de 10 % de l’IntelligentAV (IAV), ce qui souligne le rôle croissant de l’IAV dans la détection des menaces sophistiquées.
> Avec 70 % des malwares désormais diffusés via des connexions chiffrées, les résultats mettent en évidence la dépendance croissante des attaquants à l’obfuscation et aux techniques de furtivité, ainsi que la nécessité pour les entreprises d’améliorer la visibilité du trafic chiffré et d’adopter des stratégies de protection flexibles.
Le Threat Lab a également observé une légère hausse des attaques réseau (+8,3 %), tandis que la diversité des attaques s’est réduite : 380 signatures uniques ont été déclenchées contre 412 au trimestre précédent.
Parmi les nouveautés, une détection malveillante JavaScript inédite, « WEB-CLIENT JavaScript Obfuscation in Exploit Kits », a fait son apparition, soulignant la rapidité avec laquelle les nouvelles menaces peuvent se propager grâce à l’obfuscation, utilisée pour contourner les contrôles traditionnels. Le rapport montre que si de nouveaux exploits émergent, les attaquants continuent d’exploiter massivement des vulnérabilités anciennes et largement répandues dans les navigateurs, frameworks web et outils open source.
Corey Nachreiner, Chief Security Officer chez WatchGuard Technologies explique : « Tout au long du 2ème trimestre, nos observations montrent une hausse significative des malwares furtifs transitant par des canaux chiffrés, les attaquants redoublant d’efforts pour contourner la détection et maximiser leur impact. Pour les MSP et les équipes IT aux ressources limitées, le véritable défi réside dans la capacité à s’adapter rapidement avec des contre-mesures efficaces. Le maintien à jour des correctifs, l’utilisation de solutions de défense éprouvées et de technologies de détection et de réponse avancées demeurent les approches les plus efficaces pour atténuer ces menaces ».
Autres points clés du rapport Internet Security Report du 2ème trimestre 2025 :
- Les nouvelles menaces malveillantes uniques ont augmenté de 26 %, démontrant la fréquence des techniques de chiffrement de « packing », une forme d’évasion des malwares. Ces menaces polymorphes contournent les détections basées sur les signatures, entraînant une hausse des détections par les services avancés de WatchGuard tels que APT Blocker (Advanced Persistent Threat Blocker) et IAV.
- Le Threat Lab a identifié deux menaces basées sur USB : PUMPBENCH, un backdoor d’accès à distance, et HIGHREPS, un chargeur (loader). Tous deux déploient le mineur de cryptomonnaie XMRig, destiné à miner du Monero (XMR), et sont probablement liés à l’utilisation de portefeuilles matériels de cryptomonnaie.
- Les attaques par ransomware ont chuté de 47 %, reflétant un recentrage sur moins d’attaques, mais plus ciblées et dévastatrices, visant des organisations à fort impact. Cependant, le nombre de groupes d’extorsion actifs continue d’augmenter, Akira et Qilin figurant parmi les plus agressifs.
- Les droppers ont dominé les malwares réseau. Sept des dix principales détections étaient des charges de première étape, notamment Trojan.VBA.Agent.BIZ et le voleur d’identifiants PonyStealer, exploitant les macros activées par les utilisateurs pour compromettre les systèmes. Le célèbre botnet Mirai a également refait surface après cinq ans d’inactivité, principalement dans la région APAC. Cette domination des droppers reflète la préférence des attaquants pour les infections en plusieurs étapes.
- Les malwares zero-day continuent de dominer, représentant plus de 76 % de toutes les détections et près de 90 % du malware chiffré. Ces résultats soulignent la nécessité de capacités de détection avancées dépassant les signatures, en particulier pour les menaces dissimulées dans le trafic TLS.
- Les menaces basées sur le DNS persistent, incluant des domaines liés au cheval de Troie d’accès à distance (RAT) DarkGate, un malware chargeur qui agit comme un RAT, confirmant que le filtrage DNS reste une couche de défense essentielle.
Conformément aux précédents rapports trimestriels du Threat Lab, les données de cette étude reposent sur des informations anonymisées et agrégées issues des produits réseau et endpoint actifs de WatchGuard dont les utilisateurs ont choisi de partager les données afin de soutenir les efforts de recherche de WatchGuard.
Pour une analyse complète des résultats, téléchargez le rapport Internet Security Report – T2 2025 de WatchGuard.