Archives par mot-clé : faille zero-day

Chiffrement, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Cyberattaque chez FranceLink : le combat pour la reconstruction

En juillet 2025, FranceLink s’effondre sous une cyberattaque massive. Ce choc marque le début d’un combat acharné pour la survie d’une infrastructure cruciale.

À l’été 2025, FranceLink, prestataire IT français, subit une cyberattaque d’une violence inédite. Contraints de couper tous leurs services pour préserver l’intégrité de ce qui reste, les dirigeants révèlent que des données critiques ont été chiffrées par un groupe malveillant. Si certaines fonctions reviennent peu à peu (comme les emails Office365 ou les sites hébergés en externe), les serveurs internes restent hors d’accès. Face à la gravité de la situation, FranceLink engage des experts en récupération de données et reconstruit son infrastructure dans l’urgence, tout en alertant ses clients sur une faille zero-day liée aux équipements VPN SonicWall. Retour sur une crise cyber aux ramifications techniques et humaines profondes.

L’attaque de l’été : choc initial et premières réponses

Tout commence à la fin du mois de juillet 2025. FranceLink, prestataire de services numériques pour de nombreuses entreprises françaises, est brutalement frappée par une cyberattaque. Le choc est brutal : en quelques heures, l’équipe dirigeante prend une décision radicale mais nécessaire : couper tous les services afin d’éviter une propagation incontrôlée. À ce stade, aucune estimation sur la durée de l’interruption n’est possible. Le mot d’ordre est clair : préserver l’intégrité de ce qui peut encore l’être.

L’attaque s’avère particulièrement sophistiquée. Très vite, l’origine de l’agression est attribuée à un groupe nommé « Akira », dont la spécialité est le chiffrement de données critiques pour ensuite extorquer leurs victimes. Les serveurs de FranceLink sont totalement inaccessibles, et les informations qu’ils contiennent semblent irrémédiablement chiffrées.

La direction communique dès les premiers jours avec une transparence rare dans ce type de crise. Elle annonce avoir restauré une partie de l’infrastructure DNS, permettant ainsi la remise en service des emails (hébergés sur Office365 ou sur d’autres plateformes) ainsi que des sites web externalisés. Toutefois, tout ce qui dépend des serveurs internes reste inaccessible. Il est impossible, à cette étape, de savoir si les données pourront être récupérées.

C’est alors que commence une course contre la montre. FranceLink mobilise une première entreprise spécialisée en récupération de données. Pendant deux semaines, ses experts collaborent avec les équipes internes, jour et nuit, week-end compris. Le résultat, livré le 6 août, est amer : seules quelques données ont pu être restaurées, très insuffisantes pour répondre aux besoins des clients.

La situation est critique. Le 13 août, le standard téléphonique est suspendu pour concentrer toutes les ressources humaines sur la reconstruction. La communication se fait exclusivement via des mises à jour publiques. Une stratégie assumée, à la fois pour maintenir le lien avec les clients et éviter la désinformation.

Reconstruction technique et traque de la vulnérabilité

Dès le 6 août, une nouvelle entreprise est sollicitée pour tenter de récupérer davantage de données. Cette démarche implique des coûts importants (plusieurs dizaines de milliers d’euros), mais FranceLink ne recule devant aucun effort. L’objectif est double : récupérer ce qui peut l’être et, en parallèle, reconstruire rapidement une infrastructure viable.

Les équipes de l’entreprise identifient une possible piste technique sur l’origine de la faille : une vulnérabilité zero-day dans les équipements VPN SSL SonicWall, utilisée dans l’environnement réseau de FranceLink. Cette faille pourrait avoir été exploitée par les assaillants pour pénétrer le système. Bien que SonicWall indique encore être en phase d’investigation, le lien est suffisamment préoccupant pour que FranceLink alerte officiellement ses clients. Ceux-ci sont invités à consulter les alertes de sécurité et à appliquer immédiatement les mesures de protection recommandées.

En parallèle, le chantier de la reconstruction bat son plein. L’enjeu est énorme : rétablir les plateformes clients, mais surtout leur offrir un environnement sain, sécurisé et stable. FranceLink décide alors de créer de nouveaux espaces, entièrement refondus, même s’ils sont, dans un premier temps, dépourvus de données historiques.

Cette décision est stratégique. Elle permet aux clients de reprendre leurs activités, même partiellement, et de se projeter dans une reprise. En parallèle, un formulaire est mis en ligne pour que chaque client puisse indiquer les données les plus critiques à ses yeux. Cette démarche participative permet de prioriser les efforts de restauration, tout en impliquant les victimes dans la résolution.

Au fil des jours, les services reviennent. Les messageries Office365, les sites en développement ou encore les noms de domaine fonctionnent de nouveau. FranceLink documente chaque étape, publie un rapport d’incident détaillé, et tente de rassurer en maintenant une communication factuelle.

Date Événement
29/07/2025 Coupure totale des services de FranceLink suite à une cyberattaque. Standard téléphonique également suspendu.
31/07/2025 Première communication officielle sur la messagerie : deux solutions proposées pour restaurer les emails.
01/08/2025 FranceLink confirme avoir été visée par le groupe de ransomware Akira. Mise en ligne d’un formulaire pour prioriser la restauration.
04/08/2025 Premiers bilans techniques : difficultés majeures à récupérer les données chiffrées malgré le travail des experts.
06/08/2025 Fin de la mission du premier spécialiste de récupération. Quelques données récupérées, mais insuffisantes. Engagement d’un second expert.
Alerte sur une faille zero-day dans les équipements VPN SSL SonicWall, potentiellement à l’origine de l’intrusion.
11/08/2025 Publication d’un rapport d’incident détaillé. FranceLink invite ses clients à en prendre connaissance.
13/08/2025 Mise à jour : standard téléphonique toujours suspendu. FranceLink détaille ses priorités : reconstruction et récupération.
À ce jour Services DNS restaurés. Emails et sites web externalisés refonctionnent. Les serveurs internes restent inaccessibles.

Une crise révélatrice des fragilités systémiques

Au-delà des aspects techniques, cette cyberattaque met en lumière une réalité trop souvent ignorée : la dépendance des entreprises, même modestes, à des infrastructures numériques vulnérables. FranceLink, comme beaucoup d’acteurs du numérique, héberge non seulement des services mais aussi des identités numériques, des archives, des outils métiers critiques. Lorsqu’un acteur de cette chaîne tombe, c’est tout un écosystème qui vacille.

L’attaque d’Akira n’est pas un cas isolé. En 2025, les cyberattaques visant les prestataires IT se multiplient. Elles visent les maillons techniques de la chaîne de confiance, là où la sécurité est supposée être la plus solide, mais où les failles humaines, techniques ou organisationnelles peuvent provoquer des catastrophes systémiques. Le cas FranceLink en est une parfaite illustration. L’alerte autour des équipements SonicWall ajoute une couche d’inquiétude. Si la faille zero-day est confirmée, elle remettrait en question la sécurité de milliers d’infrastructures utilisant cette technologie à travers l’Europe. Dans ce contexte, la proactivité de FranceLink dans l’identification et la diffusion de l’alerte est saluée par une partie de la communauté cyber.

Mais au-delà des conséquences techniques, cette crise a aussi des implications humaines. Les équipes de FranceLink, en première ligne, ont dû affronter l’impossible : gérer la pression de centaines de clients inquiets, reconstruire en urgence, communiquer dans l’incertitude, tout en vivant le deuil numérique d’une infrastructure effondrée. Le silence du standard téléphonique, pendant plusieurs semaines, est un symbole de cette tension. La suite reste encore incertaine. Les tentatives de récupération se poursuivent. Le soutien des clients semble, en partie, tenir. Mais les dégâts sont là : pertes de données, arrêts d’activité, crédibilité ébranlée. Le Service Veille de ZATAZ confirme la menace d’Akira de diffuser d’ici peu 20 Go de données qui auraient été dérobées pendant la cyber attaque !

Cybersécurité, Entreprise, Securite informatique

Vulnérabilité zero-day critique CVE-2025-53770 : Microsoft et Google alertent sur une menace active visant SharePoint

Microsoft a diffusé une alerte d’urgence à destination de ses clients concernant la faille de sécurité identifiée sous le nom CVE-2025-53770, actuellement exploitée de manière active sur les instances on-premises de Microsoft SharePoint.

Les équipes du Google Threat Intelligence Group ont détecté plusieurs attaques en cours ciblant cette vulnérabilité, qui n’a, à ce jour, pas encore fait l’objet d’un correctif officiel. Selon les analyses menées, les attaquants déploient des webshells sur les serveurs compromis, accédant ensuite à des données cryptographiques sensibles stockées sur ces mêmes infrastructures. Ce mode opératoire confère aux cybercriminels un accès persistant et non authentifié, complexifiant considérablement la détection de la compromission.

« Les intrusions observées montrent que les acteurs malveillants visent spécifiquement l’implantation de webshells et l’exfiltration de secrets cryptographiques critiques », souligne l’un des rapports techniques issus des investigations menées par Google Threat Intelligence Group.

Face à la gravité de la menace, Microsoft a publié des mesures d’atténuation immédiates et recommande de les appliquer en urgence, notamment pour les organisations dont les serveurs SharePoint on-premises sont exposés à Internet. Les versions cloud de la plateforme, à savoir SharePoint Online au sein de Microsoft 365, ne sont pas concernées par cette vulnérabilité.

Les premiers éléments techniques publiés indiquent que la faille CVE-2025-53770 permet une prise de contrôle à distance d’un serveur SharePoint vulnérable, sans nécessité d’authentification préalable. Cette caractéristique facilite la propagation de l’attaque et son exploitation à grande échelle. Selon les recommandations des experts, il est impératif de partir du principe qu’un serveur exposé a potentiellement déjà été compromis, et d’engager sans délai des actions de vérification et de remédiation.

« Il ne s’agit pas simplement d’appliquer le correctif et de passer à autre chose. Les organisations doivent immédiatement déployer des mesures d’atténuation, rechercher activement des signes d’intrusion, et prévoir des actions de remédiation approfondies », précise Charles Carmakal, Chief Technology Officer de Mandiant Consulting, rattaché à Google Cloud.

Au moment de la publication de l’alerte, Microsoft n’a pas encore diffusé de correctif officiel pour la vulnérabilité CVE-2025-53770, mais recommande l’application de filtres et de restrictions réseau spécifiques pour limiter l’exposition des serveurs. Les recommandations actuelles incluent la désactivation de l’accès public à SharePoint on-premises, le durcissement des contrôles d’accès, et la surveillance des journaux d’activité afin de détecter toute activité anormale.

« Les attaques en cours démontrent la capacité des cybercriminels à adapter rapidement leurs techniques et à contourner les protections existantes », indique un rapport de Microsoft, insistant sur la nécessité d’une vigilance accrue.

L’analyse des compromissions déjà constatées révèle l’utilisation de webshells personnalisés, facilitant l’exfiltration de fichiers chiffrés, de certificats, de clés privées et d’autres secrets indispensables au fonctionnement sécurisé des environnements Microsoft SharePoint. Ce mode opératoire complique la détection des attaques, les fichiers malveillants étant fréquemment dissimulés au sein de répertoires légitimes ou sous des noms anodins.

La chronologie de la campagne d’attaque montre une accélération notable des tentatives d’exploitation depuis la fin de la semaine dernière, les attaquants adaptant leurs charges utiles en temps réel pour contourner les premières mesures d’atténuation publiées par Microsoft et ses partenaires. Plusieurs entreprises et administrations internationales ont d’ores et déjà signalé des tentatives d’accès non autorisées, ainsi que des traces de manipulation de fichiers critiques sur leurs infrastructures SharePoint.

« L’exploitation massive et continue de cette faille justifie la publication rapide d’un correctif d’urgence hors cycle de publication habituel », estime Charles Carmakal.

Par ailleurs, Microsoft rappelle que la vulnérabilité CVE-2025-53770 ne concerne pas les instances de SharePoint Online intégrées à Microsoft 365. Seules les versions hébergées localement (on-premises) sont impactées par la faille, ce qui restreint la surface d’attaque, mais impose une réactivité maximale aux administrateurs de ces environnements.

Les experts en sécurité recommandent également de vérifier l’intégrité des fichiers et des processus système sur les serveurs potentiellement exposés, d’analyser la présence de webshells, ainsi que de surveiller les flux réseau sortants inhabituels, signes possibles d’une exfiltration de données. Des outils spécialisés permettent de détecter certaines signatures spécifiques aux webshells utilisés dans le cadre de cette campagne, mais la diversité des implants observés nécessite une vigilance constante et des analyses approfondies.

« Les webshells implantés confèrent un accès persistant aux serveurs compromis, ouvrant la voie à des campagnes d’exfiltration de longue durée », rappelle un rapport technique relayé par les équipes de Google Threat Intelligence Group.

En complément des mesures techniques, plusieurs recommandations organisationnelles ont été formulées, telles que l’isolement temporaire des serveurs suspects, la rotation des clés et certificats potentiellement exposés, ainsi que la notification des utilisateurs concernés en cas de compromission avérée.

La collaboration entre Microsoft, Google Threat Intelligence Group et d’autres partenaires du secteur vise à accélérer le développement et la diffusion du correctif, mais aussi à sensibiliser les responsables informatiques aux risques encourus et à la nécessité d’une veille permanente face à l’évolution des menaces.

« L’exploitation de CVE-2025-53770 permet un accès non authentifié à des données cryptographiques sensibles, représentant un risque majeur pour la sécurité des organisations visées », souligne un communiqué officiel de Microsoft, publié ce week-end.

La campagne en cours met en lumière l’importance des processus de gestion de crise et d’analyse post-compromission, afin de limiter l’impact des attaques et de restaurer la confiance dans les systèmes d’information affectés. Les organismes ayant identifié des traces de compromission sont invités à contacter les équipes de réponse à incident et à procéder à un audit complet de leurs infrastructures SharePoint.

Les principales institutions de cybersécurité, dont l’Agence nationale de la sécurité des systèmes d’information, relaient les alertes et rappellent l’importance de n’exposer aucun service critique directement sur Internet, notamment lorsque des vulnérabilités non corrigées sont signalées.

La publication prochaine d’un correctif d’urgence est attendue par l’ensemble de la communauté, qui reste mobilisée pour limiter la diffusion de l’attaque et réduire le risque d’exfiltration de données. Les administrateurs sont invités à consulter régulièrement les bulletins de sécurité de Microsoft et à se tenir prêts à appliquer immédiatement toute mise à jour publiée.

« Les acteurs malveillants adaptent constamment leurs techniques pour exploiter de nouvelles failles dès leur divulgation », rappellent les spécialistes, insistant sur la nécessité d’une adaptation permanente des stratégies de défense.

Pour l’heure, aucune estimation précise du nombre de serveurs compromis n’a été officiellement communiquée, mais les observations recueillies montrent que la campagne vise en priorité des organisations détenant des informations cryptographiques à haute valeur ajoutée, telles que des certificats SSL/TLS, des jetons d’authentification et des clés de signature électronique.

L’alerte de ce week-end marque une étape supplémentaire dans la multiplication des attaques ciblant les environnements collaboratifs d’entreprise, mettant en évidence l’intérêt croissant des cybercriminels pour les serveurs SharePoint on-premises et les données sensibles qu’ils hébergent.