Vous avez sûrement appris il y a une dizaine de jours que F5, le géant bien connu des solutions de sécurité APM et de load balancing a révélé avoir été victime (pendant plusieurs années !!) d’une compromission très sophistiquée.
Une intrusion discrète mais qu s’avère lourde de conséquences …
F5, qui équipe selon les sources quasiment toutes les 50 plus grandes entreprises mondiales, a confirmé qu’un groupe de pirates, probablement soutenu par un État (Chine ? Russie ? les soupçons vont bon train), avait infiltré ses systèmes pendant plusieurs années. Le principal objectif aurait été de simplement voler le code source des logiciels de l’entreprise, des informations internes sur des vulnérabilités non corrigées, voir même un certain nombre de configurations de clients sensibles. Une telle compromission pourrait donc offrir aux attaquants potentiels une sorte de clef universelle accéder à des réseaux entiers, y compris ceux de gouvernements et de multinationales.
Ce qui est vraiment inquiétant dans cette affaire, c’esst le fait que cette attaque se soit faite sur si longtemps et de manière particulièrement discrète … Les pirates ont réussi à se maintenir chez F5 sans être a priori détectés, exfiltrant des données critiques sans laisser de traces d’exploitation immédiate. Pourtant, le simple fait qu’ils détiennent désormais des informations sur des failles non patchées et des configurations internes crée un scénario à la Skynet : celui d’attaques ciblées, difficiles à anticiper, exploitant des faiblesses encore inconnues du grand public et générant un chaos difficile à mesurer (en fonction des trouvailles trouvées et exploitables).
Des risques systémique pour des milliers de réseaux
Les autorités américaines et britanniques n’ont pas hésité à sonner l’alarme. La CISA (Cybersecurity and Infrastructure Security Agency) a qualifié la situation de « menace imminente », Le NCSC britannique a émis des recommandations similaires, soulignant l’urgence de la situation.
La France n’est pas en reste et le CERT-FR à recommandé vivement d’appliquer les correctifs publiés par F5 le 15 octobre 2025 dans les plus brefs délais. Bien que l’ANSSI n’ait pas émis d’alerte aussi forte que la CISA américaine (qui parle de « menace imminente »), la publication du CERT-FR montre que les autorités françaises prennent l’incident très au sérieux, surtout compte tenu de l’utilisation généralisée des solutions F5 dans les infrastructures critiques … et notamment de santé, suivez mon regard vers les OSE et les OIV …
Etant donné que F5 se place très souvent en temps que frontal de pas mal de sites et services, Une faille dans ces systèmes pourrait permettre à des acteurs malveillants de contourner les défenses, d’intercepter des communications, ou même de s’infiltrer plus profondément dans les infrastructures. Rappelez-vous l’exploitation en 2022 d’une vulnérabilité critique dans F5 (notée 9,8/10 en gravité d’après Mistral), montrent que ces risques ne sont pas QUE théoriques 🙁
Heureusement, pour l’instant, aucune preuve ne suggère que les pirates aient modifié le code source ou introduit des backdoors dans les produits distribués … pour l’instant …
Bref … c’est quand même bien chaud …
Liens pour en savoir plus :
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-044
https://www.cisa.gov/news-events/directives/ed-26-01-mitigate-vulnerabilities-f5-devices
https://www.wired.com/story/f5-hack-networking-software-big-ip/
https://cybersecuritynews.com/f5-breached/
