Archives par mot-clé : pare-feu

APT, Chiffrement, cryptage, Cybersécurité, Entreprise, Firewall, Securite informatique

Pare-feux, la porte d’entrée de 90 % des ransomwares

Barracuda affirme que la majorité des ransomwares de 2025 a contourné la défense par l’endroit le plus attendu, le pare-feu, et parfois en seulement trois heures.

Selon le Barracuda Managed XDR Global Threat Report, 90 % des incidents de ransomware observés en 2025 ont exploité des pare-feux, via des logiciels non corrigés ou des comptes fragiles. Le rapport s’appuie sur l’ensemble de données Barracuda Managed XDR, plus de deux mille milliards d’événements informatiques collectés en 2025, près de 600 000 alertes, et plus de 300 000 actifs protégés, dont points de terminaison, pare-feu, serveurs et ressources cloud. L’étude décrit les chemins privilégiés par les attaquants, l’usage d’outils légitimes comme l’accès à distance, et les angles morts récurrents, chiffrement obsolète, protections désactivées, configurations dégradées. Un cas attribué à Akira illustre l’accélération, trois heures entre intrusion et chiffrement.

Quand le pare-feu devient le meilleur relais de l’attaquant

Le chiffre, 90 %, raconte une réalité opérationnelle plus qu’une surprise stratégique. Le pare-feu concentre les accès, les règles, et souvent la confiance implicite, ce qui en fait un pivot idéal dès qu’une CVE ou un compte vulnérable ouvre une brèche. Barracuda décrit un scénario classique, l’attaquant obtient un point d’appui, prend le contrôle du réseau, contourne les contrôles attendus, puis masque du trafic ou des actions malveillantes derrière des flux qui ressemblent au quotidien. Dans cette logique, l’attaque ne “force” pas la porte, elle se glisse dans le passage déjà prévu.

Le rapport insiste sur l’exploitation d’outils informatiques légitimes, notamment des solutions d’accès à distance. Le détail compte, car ces utilitaires, omniprésents, peuvent devenir un accélérateur, ils fournissent une interaction stable, une persistance discrète, et un moyen de se déplacer sans déclencher immédiatement des soupçons. Barracuda signale aussi des failles plus prosaïques, mais déterminantes, comme un appareil non autorisé apparu sans contrôle, un compte laissé actif après un départ, une application “endormie” non mise à jour, ou une fonction de sécurité mal paramétrée. La mécanique est toujours la même, une seule faiblesse suffit, et la défense découvre trop tard qu’elle gardait une façade, pas l’ensemble de la surface d’attaque.

L’exemple le plus brutal, cité dans l’étude, concerne Akira. Entre l’intrusion et le chiffrement, il n’aurait fallu que trois heures. Cette compression du temps bouleverse les habitudes, les équipes disposent de moins de marge pour qualifier une alerte, recouper des journaux, isoler une machine, ou même lancer une investigation complète. Ce qui relevait hier d’un sprint devient une course de vitesse. Pour les attaquants, chaque minute gagnée réduit la probabilité d’un arrêt net avant le point de non-retour.

Des failles anciennes, des exploits prêts, et le signal du mouvement latéral

Autre enseignement, 11 % des vulnérabilités détectées disposaient d’un exploit connu. Le message est direct, une part significative des failles repérées n’est pas seulement théorique, elle est déjà “outillée”. Barracuda y voit un encouragement involontaire pour les opérateurs, qui privilégient les chemins éprouvés et industrialisés, y compris via la chaîne d’approvisionnement. La hausse rapportée est nette, 66 % des incidents impliquaient un tiers ou un volet supply chain, contre 45 % en 2024. Dit autrement, l’attaque cherche la faille la moins défendue, parfois chez un prestataire, parfois dans une dépendance logicielle, puis remonte vers la cible principale.

Le rapport met aussi en avant un paradoxe inquiétant, la CVE la plus fréquemment détectée remonte à 2013. CVE-2013-2566 concerne un algorithme de chiffrement devenu obsolète, encore présent dans des environnements anciens, vieux serveurs, équipements embarqués, applications héritées. Le risque ne vient pas seulement de la vulnérabilité elle-même, mais de ce qu’elle révèle, l’existence de morceaux d’infrastructure difficiles à inventorier, compliqués à mettre à jour, parfois invisibles aux processus standards. Dans une lecture cyber et renseignement, ces reliques technologiques deviennent des points d’ancrage, stables, prévisibles, et donc exploitables.

Le signal d’alerte le plus clair, selon Barracuda, reste le mouvement latéral. Dans 96 % des incidents où cette étape était observée, l’histoire se terminait par un déploiement de ransomware. Le moment est décisif, l’attaquant, souvent dissimulé sur un point de terminaison insuffisamment protégé, cesse d’explorer et commence à agir. Le rapport cite des indicateurs qui doivent alerter, comportements de connexion atypiques, accès privilégiés inhabituels, désactivation d’une protection endpoint, ou encore usage anormal d’outils d’administration. L’enjeu n’est pas seulement de détecter, mais d’interrompre avant que la propagation ne se transforme en chiffrement généralisé.

Au fond, Barracuda décrit une bataille d’hygiène numérique et de visibilité, où l’ennemi gagne quand l’organisation ignore ses propres zones grises, et où le renseignement de sécurité naît d’une surveillance capable de relier signaux faibles et actions concrètes.

Cybersécurité, Justice, loi, Mise à jour

La CISA ordonne le retrait des appareils en fin de vie

Washington impose un calendrier serré : inventorier, retirer, puis surveiller en continu. L’objectif est clair, couper l’accès aux périphériques Edge non maintenus, devenus une autoroute pour les intrusions.

La CISA a publié jeudi une directive opérationnelle imposant aux agences civiles fédérales américaines de retirer, sous 12 mois, tout matériel ou logiciel en fin de vie, non pris en charge par le fabricant. L’agence juge ces dispositifs, pare-feu, routeurs, équilibreurs de charge, commutateurs, points d’accès Wi-Fi, appliances de sécurité et IoT, particulièrement vulnérables faute de mises à jour et de correctifs. Les agences ont trois mois pour remettre un inventaire des équipements concernés figurant sur une liste fournie, puis un an pour les mettre hors service. Sous deux ans, elles devront instaurer un processus de détection continue des périphériques arrivant en fin de vie.

Un ultimatum de 12 mois, et le talon d’Achille des réseaux fédéraux

La CISA veut casser une habitude coûteuse : garder en production des appareils que le constructeur ne maintient plus. Jeudi, l’agence américaine de cyberdéfense a publié une directive opérationnelle ordonnant aux agences civiles fédérales de « retirer tout dispositif matériel et logiciel qui n’est plus pris en charge par son fabricant d’origine ». Un calendrier est fixé, avec des étapes obligatoires, et une philosophie simple : ce qui n’est plus patché n’a plus sa place sur un réseau d’entreprise.

Madhu Gottumukkala, directeur par intérim de la CISA, pose le diagnostic sans détour. « Les appareils non pris en charge représentent un risque sérieux pour les systèmes fédéraux et ne devraient jamais rester sur les réseaux d’entreprise », dit-il. Le message vise un inventaire concret : équilibreurs de charge, pare-feu, routeurs, commutateurs, points d’accès sans fil, appliances de sécurité réseau et dispositifs IoT. La CISA explique que ces équipements deviennent des cibles privilégiées dès qu’ils cessent de recevoir des mises à jour de firmware et des correctifs de sécurité. À partir de là, chaque faille, nouvelle ou déjà connue, se transforme en vulnérabilité permanente.

Nick Andersen, directeur adjoint exécutif de la CISA pour la cybersécurité, a ajouté lors d’une conférence de presse que les auteurs de ces attaques visant les périphériques réseau « comprennent des personnes liées à des États ». Il refuse toutefois de citer des pays ou d’identifier les incidents précis ayant conduit à la directive. Surtout, il insiste sur le cadre : « Il ne s’agit pas d’une réponse à un incident ou à une compromission particulière, mais d’une reconnaissance du fait que les appareils non pris en charge représentent un risque très grave pour les systèmes fédéraux. » Autrement dit, la CISA présente cette décision comme un changement structurel, pas comme une réaction à chaud.

Les chiffres de la menace ne sont pas donnés, mais le vocabulaire employé est parlant. La CISA évoque des cybercampagnes « persistantes », « souvent rendues possibles » par des dispositifs non pris en charge, placés à la périphérie du réseau. L’agence ajoute que les campagnes d’exploitation dont elle a connaissance sont « substantielles et constantes », au point de constituer une menace significative pour les actifs fédéraux. Le terme “Edge” résume l’enjeu : ces boîtiers sont au contact d’Internet, voient passer les flux, et s’imbriquent souvent dans l’identité, donc dans l’accès.

Inventorier, retirer, puis détecter, une discipline imposée

La directive ne se contente pas d’un principe. Elle impose une cadence. Les agences civiles fédérales ont trois mois pour fournir à la CISA un inventaire de tous les appareils présents sur leurs réseaux qui figurent sur une liste fournie d’équipements en fin de vie. Ensuite, au bout d’un an, tous les dispositifs identifiés devront être mis hors service. Enfin, dans un délai de deux ans, chaque agence devra mettre en place un processus de détection continue afin de repérer, au fil du temps, les périphériques susceptibles d’arriver en fin de vie. La logique est celle d’un contrôle permanent : l’obsolescence n’est pas un projet ponctuel, c’est un flux.

En parallèle, les agences reçoivent l’ordre de mettre à jour tous leurs appareils et de remplacer ceux en fin de vie par des équipements capables de recevoir des mises à jour de sécurité. Cette formulation vise une vulnérabilité organisationnelle autant que technique : acheter un matériel “qui marche” ne suffit plus, il faut acheter une capacité de patch sur la durée, donc une relation de support.

Pour structurer l’effort, la CISA indique avoir créé une liste des périphériques Edge en fin de vie, l’EOS Edge Device List, couvrant les appareils déjà hors service ou qui le seront dans les prochains mois. Mais l’agence précise qu’elle ne publiera pas cette liste. Ce choix illustre une tension classique : aider à la conformité sans fournir aux attaquants un catalogue prêt à l’emploi des équipements à traquer.

Andersen résume la doctrine en une phrase : « Une bonne hygiène informatique commence par l’élimination des périphériques non pris en charge. » La CISA promet aussi un accompagnement des agences qui en ont besoin et un suivi des progrès de conformité. En revanche, elle ne précise pas quels acteurs ni quels incidents ont pesé dans la décision. La directive mentionne seulement des « rapports publics récents faisant état de campagnes ciblant certains fournisseurs », sans que Andersen accepte de dire lesquels.

Le texte rappelle néanmoins un point de contexte : les périphériques Edge sont depuis longtemps des portes d’entrée favorites, et des acteurs étatiques chinois et russes ont mené de multiples campagnes visant des appareils de sociétés comme Barracuda, Ivanti, Fortinet et d’autres. Même sans lier formellement la directive à un cas précis, la mécanique est connue : une faille sur un boîtier exposé, puis l’accès initial, ensuite la persistance, et enfin l’extension latérale au cœur du réseau.

Ce que change vraiment la directive, c’est l’aveu implicite que la bataille ne se gagne pas uniquement avec de la détection. Elle commence avec l’inventaire, et se consolide en fermant les cibles faciles, celles qui ne recevront plus jamais de correctifs, mais qui continuent, trop souvent, à protéger des systèmes critiques.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.