Certains experts et législateurs préviennent que les cyberdéfenses américaines deviennent de jour en jour plus vulnérables, à mesure que les menaces émanant des États-nations s’intensifient. Ce double coup pourrait avoir de graves conséquences sur la sécurité nationale et sur les cyber-risques dans les secteurs public et privé.
Les articles vedettes de cette semaine couvrent une attaque majeure d’un État-nation que les experts comparent à la violation de SolarWinds, un groupe de menace basé en Chine concernant l’utilisation d’un outil de sécurité légitime à des fins malveillantes et de nouvelles réductions d’effectifs à la CISA.
Les pirates informatiques des États-nations ciblent F5, ce qui pousse le gouvernement fédéral à se démener
Un acteur menaçant anonyme d’un État-nation a violé les systèmes de F5, a déclaré le fournisseur cette semaine, obtenant un accès persistant à long terme aux plates-formes d’ingénierie de l’entreprise et volant des données sensibles. Les attaquants ont obtenu le code source de BIG-IP, des informations sur des vulnérabilités non divulguées et des détails de configuration client qui pourraient permettre de futures attaques.
F5 a déclaré avoir découvert la violation en août, mais n’a pas révélé quand elle a commencé. En réponse, la CISA a publié une directive d’urgence exigeant que les agences fédérales sécurisent immédiatement leurs appareils F5, mettent à jour les produits les plus concernés d’ici le 22 octobre et déconnectent les systèmes en fin de vie.
L’incident évoque l’attaque de SolarWinds et soulève des inquiétudes quant à la sécurité de la chaîne d’approvisionnement, bien que F5 ait déclaré n’avoir trouvé aucune preuve de falsification de logiciel. Des milliers de produits F5 sont déployés dans les agences fédérales.
Dans le secteur privé, presque toutes les organisations du Fortune 50 utiliseraient la technologie F5. Les chercheurs de Palo Alto Networks ont déclaré qu’au 15 octobre — le lendemain de l’annonce de l’attaque par F5 — ils avaient identifié plus de 600 000 dispositifs de sécurité réseau F5 non corrigés et connectés à Internet.
Lisez l’histoire complète d’Eric Geller sur Cybersecurity Dive.
Des pirates chinois utilisent un outil de sécurité pour lancer des attaques de ransomwares
Le groupe de menace basé en Chine Storm-2603 a utilisé Velociraptor, un outil open source d’investigation numérique et de réponse aux incidents, dans le cadre d’attaques de ransomware.
Les chercheurs de Cisco Talos ont observé le groupe déployer plusieurs variantes de ransomware, notamment Warlock, LockBit et Babuk, sur les serveurs VMware ESXi lors d’un incident en août. Storm-2603 a installé une version obsolète de Velociraptor avec une vulnérabilité d’élévation de privilèges pour maintenir un accès réseau persistant tout en dissimulant les activités malveillantes.
Cela représente un changement inquiétant dans lequel les attaquants réutilisent des outils de sécurité légitimes pour des opérations offensives afin de mener ce que l’on appelle des attaques pour vivre de la terre.
Lisez l’histoire complète de Rob Wright sur Dark Reading.
La CISA perd davantage d’employés à cause des licenciements et des réaffectations
L’administration Trump réduit encore davantage les effectifs de la CISA, cette fois-ci en procédant à des licenciements et à des délocalisations forcées. Depuis le 1er octobre, le ministère de la Sécurité intérieure a licencié 176 employés, la majorité provenant de la CISA. L’agence avait déjà perdu environ un tiers de ses effectifs en 2025.
La réduction des effectifs aurait créé une grave crise de moral au sein de CISA, les employés se sentant incertains quant à leur rôle. Les républicains ont déclaré que les coupes étaient nécessaires pour remettre l’agence sur les rails après qu’elle s’est impliquée dans la lutte contre la désinformation électorale en 2020. Mais les experts en cybersécurité et les législateurs démocrates ont averti que ces perturbations pourraient affaiblir les capacités de cyberdéfense de l’Amérique à un moment où les menaces mondiales évoluent rapidement et, dans certains cas, s’intensifient.
Lisez l’histoire complète d’Eric Geller sur Cybersecurity Dive.
