Archives par mot-clé : correctifs

La CISA ouvre son catalogue KEV aux chercheurs

La CISA veut accélérer l’identification des failles exploitées, alors que l’IA réduit le délai entre découverte, exploitation et défense coordonnée.

La CISA met en place un formulaire permettant aux chercheurs, fournisseurs et partenaires industriels de proposer l’ajout de vulnérabilités à son catalogue KEV, consacré aux failles déjà exploitées. Ce mécanisme vise à renforcer la collecte de renseignement cyber, à valider plus vite les preuves d’exploitation et à orienter les correctifs vers les risques réels. Le dispositif intervient dans un contexte de pression accrue, marqué par l’usage de l’IA dans la découverte et l’exploitation des failles. Les défenseurs y voient un moyen d’améliorer la rapidité du signal, mais aussi sa fiabilité.

Un signal plus ouvert pour les failles exploitées

La CISA, agence américaine chargée de la cybersécurité et de la sécurité des infrastructures, ajoute une nouvelle porte d’entrée à son dispositif de renseignement sur les vulnérabilités. Elle a annoncé la création d’un formulaire de nomination destiné aux chercheurs, éditeurs et partenaires industriels. L’objectif est simple : permettre à des acteurs extérieurs au gouvernement américain de signaler des failles qui devraient rejoindre le catalogue des Known Exploited Vulnerabilities, plus connu sous l’acronyme KEV.

Ce catalogue occupe une place centrale dans la défense fédérale américaine. Il recense les vulnérabilités logicielles et matérielles dont l’exploitation est avérée. Pour les responsables cyber du gouvernement fédéral, il sert de liste de référence afin de prioriser les correctifs. Le délai standard de remédiation est généralement fixé à trois semaines. Dans certains cas récents, cette fenêtre a toutefois été réduite à trois jours, voire à vingt-quatre heures.

Chris Butera, directeur exécutif adjoint par intérim de la CISA pour la cybersécurité, a présenté ce nouveau canal comme un renforcement de la capacité de l’agence à identifier, confirmer et diffuser rapidement les informations critiques. Selon lui, la détection précoce et la divulgation coordonnée restent parmi les leviers les plus efficaces pour réduire le risque à grande échelle.

Les signalements pourront être transmis par formulaire ou par courriel. Les contributeurs devront fournir des informations sur la vulnérabilité, ainsi que des preuves d’exploitation. Cette exigence est essentielle : le KEV ne repose pas sur la gravité théorique d’une faille, mais sur son usage réel par des attaquants. C’est précisément ce qui lui donne sa valeur opérationnelle pour les équipes de défense.

La CISA estime que ces remontées contribuent directement à la posture cyber du pays. En pratique, elles doivent aider à découvrir plus tôt les vulnérabilités exploitées, à les communiquer de façon responsable, puis à accélérer leur atténuation dans les réseaux fédéraux, privés et d’infrastructures critiques.

L’enjeu dépasse donc la simple gestion de correctifs. Il s’agit d’un mécanisme de renseignement défensif, capable de transformer des observations dispersées en priorités d’action partagées. Dans un environnement où les attaquants industrialisent l’exploitation des failles, chaque jour gagné peut modifier l’équilibre entre intrusion réussie et attaque contenue.

L’IA accélère la pression sur les défenseurs

Robert Costello, ancien directeur des systèmes d’information de la CISA, voit dans ce formulaire une façon concrète de structurer le partenariat entre l’agence et la communauté des chercheurs. Selon lui, l’intelligence collective appliquée à la collecte de renseignements sur l’exploitation des vulnérabilités peut accélérer l’ajout de failles au KEV, puis déclencher plus rapidement des mesures défensives dans l’ensemble de l’écosystème.

Son analyse pointe un changement de rythme. L’IA accélère à la fois la découverte des vulnérabilités et leur exploitation. Cette double accélération rend la divulgation précoce et coordonnée plus importante encore. Les défenseurs doivent désormais distinguer rapidement les failles réellement utilisées des nombreuses vulnérabilités découvertes, parfois nombreuses mais peu pertinentes pour les attaquants.

Depuis son lancement en 2021, le catalogue KEV a gagné en importance au-delà du seul périmètre fédéral américain. Des experts du secteur privé l’utilisent comme repère pour identifier les failles effectivement ciblées. Selon les observations citées, les organisations corrigent les vulnérabilités inscrites au KEV 3,5 fois plus vite que celles qui ne figurent pas dans ce catalogue.

Cette efficacité explique aussi les attentes autour du nouveau formulaire. Mayuresh Dani, de Qualys, rappelle que la CISA acceptait déjà des soumissions par courriel. Mais aucune donnée publique ne permettait de savoir combien de vulnérabilités avaient été ajoutées au KEV grâce à ce canal. Le formulaire impose désormais des informations plus précises, ce qui pourrait améliorer la traçabilité du processus.

Dani souligne toutefois un point sensible : la vérification. Pour que le KEV conserve sa valeur, la CISA devra démontrer comment elle valide les signalements et quels garde-fous empêchent l’ajout d’observations incorrectes. Une liste construite sur des signaux non confirmés perdrait rapidement son rôle de boussole opérationnelle.

Il estime aussi que l’agence pourrait chercher à combler un décalage. Des alternatives commerciales au KEV existent déjà, et certains acteurs considèrent le catalogue officiel comme un indicateur parfois tardif de l’exploitation des failles. Cette critique renforce l’importance du nouveau mécanisme : accélérer sans affaiblir la fiabilité.

Plus tôt ce mois-ci, Reuters a rapporté que Nick Anderson, directeur par intérim de la CISA, et Sean Cairncross, directeur national américain de la cybersécurité, avaient évoqué l’idée de limiter à trois jours le délai KEV pour tous les nouveaux bogues. Cette réflexion répond aux inquiétudes liées à l’usage de systèmes d’IA puissants par des pirates capables de produire plus vite des exploits.

Data Security Breach pense que ce type d’amélioration peut renforcer la qualité et la rapidité du signal KEV. Pour les défenseurs, l’intérêt est direct : prioriser le risque réellement observé plutôt que la seule sévérité théorique.

IA et failles : Microsoft change d’échelle

Microsoft corrige plus de 130 failles en mai, tandis que l’IA accélère la détection des vulnérabilités et bouleverse la gestion du risque cyber.

Microsoft avance vers un possible record annuel de vulnérabilités corrigées, avec plus de 500 failles déjà traitées en cinq mois. Le groupe attribue cette hausse à l’usage croissant de l’intelligence artificielle par ses équipes et par la communauté sécurité. Cette évolution change le rythme du renseignement cyber : les failles sont repérées plus vite, les correctifs s’accumulent, et les organisations doivent absorber une pression opérationnelle plus forte. Le phénomène dépasse Microsoft, avec Apple, Google, Oracle et l’écosystème open source confrontés à la même accélération. Derrière les chiffres, une question domine : qui saura suivre la cadence ?

L’IA accélère la chasse aux vulnérabilités

Le Patch Tuesday de mai marque un basculement. Microsoft a diffusé des correctifs pour plus de 130 vulnérabilités, après une mise à jour d’avril qui en comptait 173 selon son guide de sécurité. Depuis janvier 2026, l’éditeur a déjà traité plus de 500 failles. Le total exact dépend des méthodes de comptage, notamment lorsque les analystes ajoutent Edge, Chromium ou des correctifs publiés plus tôt dans le mois. Mais la tendance, elle, ne laisse guère de doute : la surface de correction s’étend.

Tom Gallagher, vice-président de l’ingénierie au Microsoft Security Response Center, assume ce changement de rythme. Selon lui, les ingénieurs de Microsoft et les chercheurs du secteur utilisent davantage l’IA pour analyser les logiciels, plus souvent et plus finement qu’auparavant. Cette automatisation ne crée pas seulement davantage d’alertes. Elle modifie l’échelle du renseignement technique, en rendant visibles des faiblesses qui seraient restées plus longtemps enfouies dans le code.

Microsoft décrit aussi un effet direct sur ses propres processus. En parallèle de la publication de mai, l’entreprise a présenté MDASH, un système d’intelligence artificielle utilisé en interne pour repérer des failles dans ses logiciels. L’outil aurait identifié 16 vulnérabilités corrigées ce mois-ci, dont quatre critiques, avant qu’un chercheur humain ne les signale. Pour un éditeur dont les produits irriguent les réseaux d’entreprise, ce type de détection précoce devient un avantage de défense, mais aussi un facteur de pression.

Avant son déploiement sur du code inconnu, Microsoft a testé MDASH à rebours sur cinq années de failles déjà découvertes dans deux composants internes de Windows. Cette méthode, appelée test de rappel rétrospectif, mesure la capacité d’un système à retrouver seul des vulnérabilités connues. MDASH aurait retrouvé 96 % des failles dans un composant et 100 % dans l’autre. L’entreprise y voit la preuve que la détection assistée par IA quitte le terrain de l’hypothèse pour devenir un problème d’ingénierie à grande échelle.

Ce progrès impose toutefois une lecture prudente. Plus de vulnérabilités publiées ne signifie pas automatiquement que les logiciels deviennent moins sûrs. Cela peut aussi indiquer que les outils de repérage deviennent plus performants. Le changement important se situe ailleurs : la fenêtre entre découverte, publication et exploitation potentielle se contracte. Pour les équipes de défense, le volume d’information à trier augmente, tandis que les priorités doivent être fixées plus vite.

Des correctifs plus nombreux, des risques plus pressants

Les failles les plus sensibles du mois montrent pourquoi cette accélération inquiète les responsables sécurité. Microsoft a signalé comme prioritaires deux vulnérabilités critiques, CVE-2026-41089 dans Windows Netlogon et CVE-2026-41096 dans le client DNS Windows. Les deux atteignent 9,8 sur 10 en gravité. Netlogon gère l’authentification sur les réseaux d’entreprise. Dans certains cas, une requête réseau spécialement construite vers un contrôleur de domaine Windows pourrait permettre l’exécution de code sans connexion préalable. Pour un attaquant, une telle position peut ouvrir la voie vers le cœur du système d’identité.

La faille DNS présente un risque similaire. Microsoft indique que, dans certaines configurations, elle pourrait permettre une exécution de code à distance sans authentification sur le système touché. L’entreprise ne détaille pas les configurations concernées. Pour les défenseurs, cette absence de précision renforce l’urgence d’une logique de réduction du risque : identifier l’exposition, appliquer les correctifs, vérifier les services critiques, puis surveiller les tentatives d’exploitation.

Une troisième vulnérabilité critique, CVE-2026-42898, concerne les installations locales de Microsoft Dynamics 365. Elle est évaluée à 9,9 sur 10. Le problème porte sur un contrôle insuffisant dans la génération de code. Un attaquant autorisé pourrait s’en servir pour exécuter du code sur un réseau. Là encore, le danger se situe moins dans un scénario spectaculaire que dans une chaîne d’accès réaliste : un compte légitime, une application métier, puis un mouvement vers des actifs plus sensibles.

Microsoft n’est pas seul face à cette montée en cadence. Le Centre national britannique de cybersécurité a récemment averti les organisations qu’elles devaient se préparer à une vague de mises à jour urgentes, provoquée par la découverte de failles assistée par IA. Apple, qui a bénéficié d’un accès anticipé à Project Glasswing, l’outil d’Anthropic conçu pour détecter les faiblesses dans le code, a corrigé 52 vulnérabilités lors de sa dernière mise à jour. Oracle, également associé à Glasswing, a annoncé fin avril l’abandon du rythme trimestriel pour les failles critiques, au profit d’un cycle mensuel. Google, de son côté, a publié 127 correctifs de sécurité pour Chrome le même jour que Microsoft, contre 30 le mois précédent.

Cette dynamique déborde aussi vers l’open source. HackerOne a suspendu son programme de primes aux bugs open source, en évoquant un déséquilibre croissant entre la découverte des failles et la capacité des mainteneurs à les corriger. Le signal est important : si l’IA amplifie la détection, elle peut aussi déplacer la saturation vers les équipes chargées de valider, prioriser et produire des correctifs fiables.

Le renseignement sur la menace confirme ce durcissement. Google a décrit le premier cas connu d’exploitation d’une faille zero-day développée par une IA dans une campagne massive planifiée, tout en affirmant avoir bloqué l’opération avant son lancement. Ajoutées aux vulnérabilités du noyau Linux Copy Fail et Dirty Frag, révélées ces deux dernières semaines, ces alertes dessinent un environnement où découverte, exploitation et remédiation avancent plus vite.

Claude Code Security, Anthropic veut industrialiser l’audit IA

Anthropic ajoute à Claude Code un scanner de vulnérabilités pensé pour les entreprises, avec une promesse simple, lire une base de code, détecter les failles, proposer des correctifs, puis laisser l’humain décider.

Anthropic annonce Claude Code Security, une fonctionnalité de sécurité intégrée à Claude Code capable d’analyser le code d’un utilisateur, de repérer des vulnérabilités et de suggérer des correctifs. Le déploiement démarre en accès limité pour des clients entreprises et des équipes pilotes. L’éditeur affirme s’appuyer sur plus d’un an de tests de résistance menés par ses spécialistes, incluant des exercices Capture the Flag et un travail avec le Pacific Northwest National Laboratory pour améliorer la précision. L’outil promet une vérification en plusieurs étapes afin de réduire les faux positifs, un classement par gravité et une approche orientée flux de données.

Une promesse d’analyse « comme un chercheur humain »

Anthropic avance un pari clair, l’IA va devenir un passage quasi obligé dans l’examen du code. Dans son discours, l’argument n’est pas seulement la vitesse, mais le changement d’échelle. L’entreprise estime qu’une fraction importante du code mondial pourrait être passée au crible par des modèles dans un futur proche, à mesure que ces systèmes gagnent en efficacité pour révéler des bugs et des faiblesses de sécurité restés invisibles. La tension, elle, est immédiate, ce qui accélère la protection accélère aussi l’attaque.

Claude Code Security est présenté comme un module qui « lit » une base de code et en reconstruit la logique, à la manière d’un analyste. L’outil ne se limiterait pas à pointer des motifs suspects, il chercherait à comprendre comment les composants interagissent, à suivre les chemins empruntés par les données, puis à isoler des défauts majeurs que des approches classiques d’analyse statique peuvent manquer. Dans ce scénario, la valeur n’est pas seulement la détection, mais la contextualisation, autrement dit relier une faiblesse à un flux, une entrée, une dépendance, un composant, et à un impact.

Pour réduire le bruit, Anthropic décrit un mécanisme de contrôle interne. Chaque détection passerait par une validation en plusieurs étapes avant d’être transmise à un analyste, puis le modèle « se relirait » lui-même, afin de confirmer ou d’infirmer ses propres conclusions et de limiter les faux positifs. Les résultats seraient ensuite hiérarchisés par gravité, pour guider les équipes vers ce qui doit être corrigé en premier. Le processus mis en avant reste, au bout de la chaîne, une boucle de décision humaine, l’utilisateur approuve les modifications avant tout déploiement.

 



News & Réseaux Sociaux ZATAZ

Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

Une mise en production prudente, et une règle clé sur les droits

Le lancement, lui, est encadré. Anthropic indique que Claude Code Security sera d’abord réservé à un groupe restreint de clients entreprises et d’équipes, dans une phase de test. L’annonce s’appuie sur un récit de robustesse construit sur la durée, plus d’un an de tests de résistance par une équipe interne d’experts cybersécurité, des participations à des compétitions de type Capture the Flag, et une collaboration avec le Pacific Northwest National Laboratory, présentée comme un levier pour améliorer la précision des analyses.

En filigrane, l’entreprise vise un basculement culturel, celui du « vibe coding », cette manière de produire plus vite en s’appuyant sur l’IA pour écrire et assembler des morceaux de logiciel. Anthropic soutient que, si cette pratique se diffuse, la demande d’analyses automatisées de vulnérabilités pourrait dépasser le besoin d’audits manuels. L’argument est pragmatique, si davantage de code est généré plus vite, alors davantage de code doit être audité plus vite, sinon la dette de sécurité enfle. Dans cette logique, un scanner directement intégré au flux de développement pourrait, potentiellement, réduire le nombre de failles, à condition que l’automatisation n’endorme pas la vigilance.

Mais la même capacité de lecture rapide et d’exploration systématique intéresse aussi l’adversaire. Le texte souligne que des cybercriminels peuvent, eux aussi, utiliser des modèles pour cartographier plus vite l’environnement d’une victime et y trouver des points d’entrée exploitables. C’est le dilemme classique du renseignement technique, un outil qui améliore la visibilité des défenseurs peut aussi accélérer la reconnaissance et la sélection de cibles côté attaquants. D’où l’enjeu, non seulement de détecter, mais de qualifier, prioriser et corriger sans délai.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

Des chercheurs spécialisés dans les menaces nuancent l’enthousiasme. Oui, les capacités ont progressé, mais elles seraient souvent plus à l’aise sur des failles modestes, tandis que des opérateurs chevronnés restent indispensables, notamment pour piloter le dispositif et traiter les vulnérabilités et menaces de haut niveau. En parallèle, certains outils, comme Claude Opus et XBOW, ont déjà montré qu’ils pouvaient découvrir des centaines de vulnérabilités logicielles, rendant parfois la chasse et la correction nettement plus rapides qu’une équipe humaine seule.

Anthropic revendique aussi un saut de performance côté modèle, en affirmant que Claude Opus 4.6 est « nettement meilleur » pour repérer des vulnérabilités de haute gravité que les versions antérieures, avec, dans certains cas, des défauts qui seraient restés indétectés pendant des décennies. L’accès, enfin, s’accompagne d’une contrainte juridique et éthique explicite, les testeurs doivent s’engager à n’utiliser l’outil que sur du code appartenant à leur entreprise, et pour lequel ils disposent de tous les droits nécessaires à l’analyse, à l’exclusion du code de tiers, sous licence, ou de projets open source.

Au fond, Claude Code Security illustre une bascule de la cyber-intelligence, l’audit devient un flux continu, mais la bataille se joue toujours sur la qualité du tri, de la preuve, et de la décision.

Pare-feux, la porte d’entrée de 90 % des ransomwares

Barracuda affirme que la majorité des ransomwares de 2025 a contourné la défense par l’endroit le plus attendu, le pare-feu, et parfois en seulement trois heures.

Selon le Barracuda Managed XDR Global Threat Report, 90 % des incidents de ransomware observés en 2025 ont exploité des pare-feux, via des logiciels non corrigés ou des comptes fragiles. Le rapport s’appuie sur l’ensemble de données Barracuda Managed XDR, plus de deux mille milliards d’événements informatiques collectés en 2025, près de 600 000 alertes, et plus de 300 000 actifs protégés, dont points de terminaison, pare-feu, serveurs et ressources cloud. L’étude décrit les chemins privilégiés par les attaquants, l’usage d’outils légitimes comme l’accès à distance, et les angles morts récurrents, chiffrement obsolète, protections désactivées, configurations dégradées. Un cas attribué à Akira illustre l’accélération, trois heures entre intrusion et chiffrement.

Quand le pare-feu devient le meilleur relais de l’attaquant

Le chiffre, 90 %, raconte une réalité opérationnelle plus qu’une surprise stratégique. Le pare-feu concentre les accès, les règles, et souvent la confiance implicite, ce qui en fait un pivot idéal dès qu’une CVE ou un compte vulnérable ouvre une brèche. Barracuda décrit un scénario classique, l’attaquant obtient un point d’appui, prend le contrôle du réseau, contourne les contrôles attendus, puis masque du trafic ou des actions malveillantes derrière des flux qui ressemblent au quotidien. Dans cette logique, l’attaque ne “force” pas la porte, elle se glisse dans le passage déjà prévu.

Le rapport insiste sur l’exploitation d’outils informatiques légitimes, notamment des solutions d’accès à distance. Le détail compte, car ces utilitaires, omniprésents, peuvent devenir un accélérateur, ils fournissent une interaction stable, une persistance discrète, et un moyen de se déplacer sans déclencher immédiatement des soupçons. Barracuda signale aussi des failles plus prosaïques, mais déterminantes, comme un appareil non autorisé apparu sans contrôle, un compte laissé actif après un départ, une application “endormie” non mise à jour, ou une fonction de sécurité mal paramétrée. La mécanique est toujours la même, une seule faiblesse suffit, et la défense découvre trop tard qu’elle gardait une façade, pas l’ensemble de la surface d’attaque.

L’exemple le plus brutal, cité dans l’étude, concerne Akira. Entre l’intrusion et le chiffrement, il n’aurait fallu que trois heures. Cette compression du temps bouleverse les habitudes, les équipes disposent de moins de marge pour qualifier une alerte, recouper des journaux, isoler une machine, ou même lancer une investigation complète. Ce qui relevait hier d’un sprint devient une course de vitesse. Pour les attaquants, chaque minute gagnée réduit la probabilité d’un arrêt net avant le point de non-retour.

Des failles anciennes, des exploits prêts, et le signal du mouvement latéral

Autre enseignement, 11 % des vulnérabilités détectées disposaient d’un exploit connu. Le message est direct, une part significative des failles repérées n’est pas seulement théorique, elle est déjà “outillée”. Barracuda y voit un encouragement involontaire pour les opérateurs, qui privilégient les chemins éprouvés et industrialisés, y compris via la chaîne d’approvisionnement. La hausse rapportée est nette, 66 % des incidents impliquaient un tiers ou un volet supply chain, contre 45 % en 2024. Dit autrement, l’attaque cherche la faille la moins défendue, parfois chez un prestataire, parfois dans une dépendance logicielle, puis remonte vers la cible principale.

Le rapport met aussi en avant un paradoxe inquiétant, la CVE la plus fréquemment détectée remonte à 2013. CVE-2013-2566 concerne un algorithme de chiffrement devenu obsolète, encore présent dans des environnements anciens, vieux serveurs, équipements embarqués, applications héritées. Le risque ne vient pas seulement de la vulnérabilité elle-même, mais de ce qu’elle révèle, l’existence de morceaux d’infrastructure difficiles à inventorier, compliqués à mettre à jour, parfois invisibles aux processus standards. Dans une lecture cyber et renseignement, ces reliques technologiques deviennent des points d’ancrage, stables, prévisibles, et donc exploitables.

Le signal d’alerte le plus clair, selon Barracuda, reste le mouvement latéral. Dans 96 % des incidents où cette étape était observée, l’histoire se terminait par un déploiement de ransomware. Le moment est décisif, l’attaquant, souvent dissimulé sur un point de terminaison insuffisamment protégé, cesse d’explorer et commence à agir. Le rapport cite des indicateurs qui doivent alerter, comportements de connexion atypiques, accès privilégiés inhabituels, désactivation d’une protection endpoint, ou encore usage anormal d’outils d’administration. L’enjeu n’est pas seulement de détecter, mais d’interrompre avant que la propagation ne se transforme en chiffrement généralisé.

Au fond, Barracuda décrit une bataille d’hygiène numérique et de visibilité, où l’ennemi gagne quand l’organisation ignore ses propres zones grises, et où le renseignement de sécurité naît d’une surveillance capable de relier signaux faibles et actions concrètes.

F5 victime d’une compromission attribuée à un acteur étatique

Un acteur lié à un État a infiltré durablement le réseau de F5 et dérobé le code source ainsi que des données de vulnérabilités de BIG-IP, exposant des risques majeurs pour la chaîne d’approvisionnement numérique mondiale.

F5, éditeur américain de solutions réseau BIG-IP, a révélé une compromission prolongée par un acteur gouvernemental sophistiqué. L’attaquant aurait accédé aux serveurs internes responsables de la création et de la distribution des mises à jour logicielles, exfiltrant du code source et des informations sur des failles non publiées. Cette intrusion, détectée le 9 août, fait peser un risque critique de compromission de la chaîne d’approvisionnement pour des milliers d’entreprises et d’agences publiques qui utilisent BIG-IP. F5 a publié 44 correctifs et fait appel à IOActive, NCC Group, Mandiant et CrowdStrike pour enquêter. Les autorités américaines et britanniques ont depuis appelé à l’application urgente des mises à jour.

Comment l’intrusion s’est déroulée

F5, basée à Seattle, a confirmé qu’un groupe agissant pour le compte d’un gouvernement non nommé avait maintenu un accès persistant à son réseau interne pendant une période prolongée. L’intrusion, découverte le 9 août puis révélée publiquement, a montré que les assaillants avaient atteint le segment critique chargé de compiler et distribuer les mises à jour de BIG-IP.

Ce périmètre de build et de diffusion représente le pivot logique d’une attaque sur la chaîne d’approvisionnement : il signe, emballe et pousse le code vers des dizaines de milliers d’appareils déployés. Les serveurs concernés, situés à la périphérie des réseaux clients, gèrent l’équilibrage de charge et assurent le rôle de pare-feu applicatif, en inspectant et chiffrant le trafic.

F5 précise que des fragments du code source de BIG-IP ont été exfiltrés. Parallèlement, les assaillants ont dérobé des informations sur des vulnérabilités découvertes par F5 mais non encore corrigées ni rendues publiques, ainsi que certains paramètres de configuration client. Ce trio d’éléments — code source, failles non divulguées et configurations — réduit considérablement le temps et les ressources nécessaires pour concevoir des attaques ciblées et échapper à la détection.

L’entreprise souligne que la compromission concernait spécifiquement l’infrastructure liée à la distribution logicielle. Si l’enquête n’a pas montré de modification du code déployé ni d’altération du processus de signature, la fuite de ce matériel sensible constitue une escalade notable du risque de compromission en cascade. En d’autres termes, un acteur doté du code et des vulnérabilités internes pourrait théoriquement produire des mises à jour falsifiées ou des attaques exploitant directement les points faibles des clients.

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Portée et impact technique

Les équipements BIG-IP sont présents dans 48 des 50 plus grandes entreprises mondiales. Ces appliances, situées à l’entrée du réseau, inspectent tout le trafic entrant et sortant, gèrent le chiffrement TLS et appliquent les politiques d’accès. Dans de nombreux cas, elles détiennent aussi des identifiants administratifs privilégiés et des configurations adaptées à l’architecture interne des organisations.

La fuite de ces paramètres offre à un attaquant une cartographie détaillée de cibles potentielles. Elle révèle les chemins techniques menant aux systèmes les plus sensibles situés derrière le pare-feu applicatif.

À la suite de l’incident, F5 a publié 44 correctifs. Selon l’entreprise, ces vulnérabilités étaient accessibles à l’assaillant depuis au moins août, date de détection de l’intrusion. Aucune preuve n’indique que ces failles aient été exploitées avant leur correction.

Pour confirmer cette évaluation, F5 a mandaté plusieurs sociétés spécialisées : IOActive et NCC Group ont audité les composants accessibles depuis l’extérieur et n’ont trouvé aucune faille critique non corrigée ; Mandiant et CrowdStrike ont mené des analyses forensiques internes et conclu qu’aucune donnée financière ou client n’avait été volée.

Cependant, le maintien d’un accès furtif sur une longue période, dans une infrastructure connectée à la quasi-totalité des grands réseaux mondiaux, laisse ouverte la possibilité d’opérations ultérieures ciblées. D’un point de vue technique, la possession du code source et de données de vulnérabilités accélère la production d’exploits : les flux de contrôle, la logique de validation et la gestion cryptographique deviennent visibles pour l’attaquant.

L’association avec des configurations réelles d’entreprises réduit encore l’incertitude opérationnelle. Ensemble, ces éléments offrent à un acteur étatique les moyens de conduire une attaque de chaîne logistique à large échelle, potentiellement contre des infrastructures publiques critiques. L’enjeu dépasse F5 : les équipements BIG-IP se trouvent au cœur des architectures réseau de la majorité des grandes organisations américaines et britanniques, avec des implications directes pour la sécurité nationale et économique.

Réponses, atténuation et risques persistants

F5 affirme avoir immédiatement pris des mesures correctives. L’entreprise a diffusé des mises à jour couvrant l’ensemble des failles découvertes et a collaboré avec les autorités compétentes. Les investigations externes n’ont révélé ni altération du processus de build, ni signe d’exploitation active du matériel volé.

Malgré cela, les centres nationaux de cybersécurité américains (CISA) et britanniques (NCSC) ont diffusé des alertes officielles. Ils demandent à toutes les administrations et entreprises d’inventorier leurs équipements BIG-IP et d’appliquer sans délai les mises à jour de sécurité. Les recommandations s’étendent au secteur privé, notamment dans les télécoms, la finance et les infrastructures critiques.

Ces consignes reposent sur un principe de précaution : un adversaire disposant des vulnérabilités et des configurations peut préparer des attaques ciblées à long terme. Le déploiement de correctifs réduit le risque immédiat, mais ne garantit pas l’absence de mécanismes d’accès persistants.

F5 reconnaît les limites d’une détection a posteriori. Dans des environnements complexes, il est difficile de prouver qu’aucune modification invisible ne subsiste. Cette incertitude pèse désormais sur les clients : ils doivent considérer la compromission comme un risque systémique et renforcer leur surveillance.

Les administrateurs sont invités à recenser les appliances BIG-IP installées, vérifier leurs versions logicielles et examiner les journaux d’accès pour détecter toute activité anormale. Un suivi spécifique du trafic sortant depuis ces dispositifs peut permettre d’identifier d’éventuelles communications non autorisées.

D’un point de vue renseignement, cette opération illustre la stratégie des acteurs étatiques : pénétrer la chaîne d’approvisionnement pour obtenir un effet démultiplié. En compromettant un fournisseur central, ils acquièrent un levier stratégique sur l’ensemble de ses clients. Même sans exploitation avérée, la simple possession du code et des vulnérabilités internes permet une planification offensive à grande échelle.

Les implications dépassent la sphère technique. Elles soulèvent des questions de souveraineté numérique et de dépendance vis-à-vis d’équipements étrangers au cœur des infrastructures critiques. Les autorités devront examiner comment renforcer la résilience des chaînes logicielles et instaurer des audits continus de sécurité au niveau des fournisseurs.

L’incident documenté par F5 illustre un scénario typique d’attaque de la chaîne d’approvisionnement : un accès persistant au cœur du processus de développement permet de dérober du code et des informations exploitables contre des milliers de réseaux.

Malgré l’absence d’exploitation confirmée, le risque demeure tangible : les matériaux volés peuvent faciliter des intrusions différées, difficilement détectables. La réaction de F5, entre communication rapide et audits indépendants, ne supprime pas la nécessité d’une vigilance accrue de la part des clients et des États.

Pour les opérateurs, la priorité reste claire : localiser les dispositifs BIG-IP, appliquer les correctifs et renforcer la surveillance en périphérie de réseau. Pour les équipes de renseignement et de réponse à incident, cette affaire rappelle qu’une compromission de fournisseur peut devenir une arme stratégique.

Comment les organisations concernées pourront-elles prouver l’absence de compromission secondaire chez leurs partenaires, maintenant que le code source et les données de configuration ont été exposés ?

Rejoignez nous sur les réseaux :

Aucun spam – Désinscription en un clic – Vie privée respectée

Correctifs : Microsoft corrige 28 vulnérabilités critiques sur 62 patchées

Correctifs massifs ! Le Patch Tuesday d’octobre est pour Microsoft l’occasion de publier des correctifs pour résoudre 62 vulnérabilités dont 30 affectent Windows. Les correctifs traitant 28 de ces vulnérabilités sont définis comme critiques. 33 vulnérabilités peuvent entraîner l’exécution de code malveillant à distance (RCE). Selon Microsoft, une vulnérabilité dans Microsoft Office est actuellement exploitée de manière active en mode aveugle.

Priorité absolue pour des correctifs massifs donc à cette vulnérabilité CVE-2017-11826 dans Microsoft Office qui est classée comme « Importante » par Microsoft. Autre priorité, la résolution de CVE-2017-11771, une vulnérabilité au sein du service de recherche Windows. Depuis début 2017, c’est le quatrième Patch Tuesday qui traite une vulnérabilité dans ce service.

Comme les fois précédentes, cette vulnérabilité peut être exploitée à distance via le protocole SMB. Il facilite la prise de contrôle total d’un système. Elle peut impacter aussi bien des serveurs que des postes de travail. Même si un exploit lancé contre cette vulnérabilité peut s’appuyer sur SMB comme vecteur d’attaque, il ne s’agit pas d’une vulnérabilité au sein de ce protocole. SMB lui-même. Aucun rapport donc avec les vulnérabilités SMB récemment exploitées par EternalBlue, WannaCry et Petya.

À noter aussi deux vulnérabilités dans la bibliothèque de polices Windows, CVE-2017-11762 et CVE-2017-11763, pouvant être exploitées via un navigateur ou un fichier malveillant, ainsi qu’une vulnérabilité dans DNSAPI, CVE-2017-11779, grâce à laquelle un serveur DNS malveillant peut exécuter du code sur un système client.
Une vulnérabilité sur certaines puces TPM est résolue grâce à l’avis de sécurité ADV170012.

Localisée dans la puce TPM elle-même, et non pas dans Windows, cette vulnérabilité peut entraîner la génération de clés cryptographiques faibles. Ces clés sont utilisées pour BitLocker, l’authentification biométrique et d’autres domaines de Windows.

Les mises à jour fournissent une solution de contournement pour les clés faibles. Une option permettant d’utiliser des clés générées par le logiciel. Une remédiation complète exige une mise à jour du firmware fournie par le fabricant de l’équipement.

La majorité des vulnérabilités traitées ce mois-ci concernent le moteur de script qui peut impacter à la fois les navigateurs et Microsoft Office.

Corriger cette vulnérabilité est une priorité sur les systèmes de type bureautique qui utilisent un navigateur pour la messagerie et pour accéder à Internet.

Mercredi 18 octobre, les chercheurs de Proofpoint ont détecté une pièce jointe Microsoft Word malveillante. Elle exploitait une vulnérabilité récemment corrigée d’Adobe Flash [CVE-2017-11292].

Pour finir, cette attaque serait l’œuvre d’APT28 (également connu sous le nom de Sofacy), un groupe parrainé par l’État russe.  Plusieurs cyberattaques leurs ont été attribuées, notamment contre TV5 Monde en 2015.

Les données de ciblage pour cette campagne sont limitées. Certains emails ont été envoyés à des entités gouvernementales et à des entreprises du secteur privé dans l’industrie aérospatiale.

Le ciblage géographique connu semble large, y compris en Europe et aux États-Unis. Vous trouverez plus de détails sur ce sujet sur le blog anglais Threat Insight de Proofpoint. Les informations seront mises à jour quotidiennement en fonction de l’évolution de la menace. (Avec Jimmy Graham dans The Laws of Vulnerabilities Qualys)

Patch Tuesday Mars 2016

Patch Tuesday Mars 2016 – Microsoft publie 13 bulletins, dont 5 sont considérés comme critiques. Même ambition de correction pour Adobe.

Ce mois-ci, la première place de notre classement du Patch Tuesday revient au bulletin MS16-023 consacré à Internet Explorer. Ce dernier résout 13 vulnérabilités, toutes classées comme critiques. L’exploitation de ces vulnérabilités critiques créé la situation la plus dangereuse, en l’occurrence l’exécution de code à distance (RCE) qui donne à l’attaquant le contrôle complet de la machine ciblée. Ces attaques contre Internet Explorer proviendraient de sites Web malveillants créés à dessein ou de sites inoffensifs servant de vecteurs et contenant les exploits destinés à infecter les visiteurs habituels.

Si vous êtes sous Windows 10 et que vous avez opté pour le navigateur Edge, le bulletin MS16-024 fait partie de vos priorités. 11 vulnérabilités au total dont 10 critiques indiquent que les chercheurs en sécurité ont concentré leur attention sur Edge, qui a lentement perdu du terrain sur Internet Explorer en termes de vulnérabilités. En décembre 2015, nous en étions encore à 30 contre 15 et maintenant, en mars, à 13 contre 11.

Le prochain bulletin sur la liste de ce Patch Tuesdsay est le MS16-029 qui contient une nouvelle version de Microsoft Word. Word est souvent utilisé pour véhiculer des exploits, à la fois dans des documents en ligne et dans des pièces jointes. Les vulnérabilités permettant à l’attaquant d’exécuter du code RCE pour contrôler les machines ciblées doivent être résolues dans les meilleurs délais.

Le groupe de vulnérabilités suivant concerne Windows Media Player (bulletin MS16-027), les polices OpenType (bulletin MS16-026) et la nouvelle visionneuse PDF Reader à partir de Windows 8 (bulletin MS16-028). Toutes ces failles sont critiques et facilitent l’exécution de code RCE. Elles s’attaquent toutes à des problèmes de formatage complexes, que ce soit dans le lecteur Windows Media Player avec le format vidéo MPEG, dans les polices OpenType avec une référence circulaire qui provoque une récursion ou dans la visionneuse PDF avec une vérification des limites qui fait défaut dans l’interpréteur PostScript. Le flot continu de vulnérabilités dans ces domaines indique le niveau de complexité des formats de médias que nous utilisons tous les jours.

Les bulletins restants résolvent des vulnérabilités classées comme « importantes ». Ces dernières entrent essentiellement en jeu lorsqu’une élévation de privilèges est sollicitée, une fois qu’une des vulnérabilités critiques a permis de s’introduire sur la machine ciblée. Vous devriez traiter ces vulnérabilités dans les 45 jours pour éviter ce type d’utilisation secondaire.

Microsoft n’est pas le seul éditeur à résoudre les problèmes de sécurité liés au format PDF. Adobe publie en effet une nouvelle version d’Adobe Reader dans sa mise à jour de sécurité APSB16-09 qui résout trois failles de sécurité critiques. Si vous utilisez Adobe Reader ou la suite Acrobat, il s’agit d’une priorité pour vous. Si vous suivez ces mises à jour, vous aurez remarqué l’absence de la mise à jour APSB16-08 (APS16-07 concernait Adobe Connect le mois dernier). Probablement une mise à jour de Flash reportée pour faire des tests supplémentaires ou y inclure un correctif de dernière minute pour une vulnérabilité en cours.

Et une première pour Apple ce mois-ci. Le célèbre client bit torrent « Transmission » a été infecté par un ransomware. Heureusement, ce client n’a été disponible en téléchargement que pour une durée de moins de 12 heures et Apple a rapidement révoqué son certificat de signature et mis à jour les signatures dans XProtect. Vérifiez néanmoins si Transmission 2.90 est sur votre réseau et isolez-le une fois découvert.

Aucune menace 0-Day ni vulnérabilité immédiatement exploitable ce mois-ci. Mais appliquez tous ces patches dès que possible et dans tous les cas. En effet, certains attaquants sont capables de convertir rapidement des vulnérabilités en exploits, souvent en moins de 10 jours. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities)