Deux chiffres permettent de mieux comprendre l’insistance de l’Anssi sur les compromissions liées à des équipements de sécurité, ces pare-feux ou VPN victimes d’une faille. Comme le cyber-pompier le rappelle dans son panorama de la cybermenace pour l’année 2024, plus de la moitié de ses opérations de cyberdéfense, son « plus haut niveau d’engagement en réponse à incident », ont eu ainsi pour origine l’exploitation de vulnérabilités sur des équipements de sécurité situés en bordure de systèmes d’information!
Second chiffre, tout aussi éloquent: « les neuf vulnérabilités les plus exploitées en 2024 affectent des équipements de sécurité en bordure de système d’information », poursuit l’Anssi. Un intérêt des pirates de tout poil – cybercriminels ou espions – qui se comprend.
Ces équipements sont « des cibles de choix », au vu de leur surface d’attaque, de la simplicité de l’exploitation de la vulnérabilité et du potentiel des failles. Elles permettent par exemple de toucher à l’Active directory, ce service d’annuaire critique.
L’Anssi présente ce matin son panorama de la menace cyber 2024. L’une des tendances de l’année écoulée, « peut être le fait majeur », est l’augmentation des tentatives de déstabilisation (comme les attaques en déni de service), rapporte Vincent Strubel, le patron du cyber-pompier français.
— Gabriel Thierry (@gabrielthierry.bsky.social) 11 mars 2025 à 10:17
Campagnes massives
Ces derniers mois, l’Anssi avait alerté à plusieurs reprises sur le sujet. Soit en janvier 2025, en octobre 2024, ou encore en juin dernier avec la publication d’un retour d’expérience. Elle vient donc d’en remettre une couche après une année 2024 marquée par « des campagnes d’exploitation massive ».
Concrètement, l’agence a ainsi identifié « la compromission de plusieurs milliers d’équipements » et traité plusieurs dizaines d’incidents de sécurité liés à l’exploitation de vulnérabilités logicielles ». Autant de failles dans les défenses identifiées par les attaquants par des opérations de balayage réseau, des scans.
Ces vulnérabilités sont « exploitées dans un délai très court après leur publication, en raison de l’apparition de plus en plus rapide de preuves de concept ou de codes d’exploitation publics », précise l’Anssi. Les troupes de Vincent Strubel, le directeur général de l’agence, signalent par exemple la compromission d’une organisation des télécommunications en 2024.
Après des tentatives de connexion pendant plusieurs mois, les attaquants ont fini par compromettre un pare-feu Palo Alto, deux mois après la publication du correctif. Ce qui leur a permis ensuite d’obtenir un accès plus large et de déployer un rançongiciel. Une attaque synonyme ensuite de « lourds travaux de reconstruction ».
Evolutions réglementaires
Cette situation critique pourrait toutefois évoluer à la faveur de nouvelles dispositions réglementaires, espère visiblement l’Anssi. Comme l’agence le rappelle, les éditeurs ont désormais l’obligation de notifier au cyber-pompier les « vulnérabilités significatives et les incidents affectant significativement la sécurité de leurs produits ».
De même, le Cyber Resilience Act, adopté en octobre 2024, prévoit également la mise en place par les éditeurs d’une « gestion automatisée des mises à jour » et d’une « obligation de signalement » des vulnérabilités. « L’Anssi dispose de plusieurs moyens d’action en cas de non-respect de leurs obligations par les éditeurs », rappelle l’agence. Elle peut par exemple publier une injonction, communiquer à destination des utilisateurs ou encore publier la faille.
Quant à ceux qui signalent une vulnérabilité, ils bénéficient également d’une protection juridique. Mais uniquement « lorsqu’ils agissent de bonne foi et signalent à la seule Anssi leur découverte », poursuit l’agence. L’Anssi a compté 236 signalements en 2024.
Image de une: Vincent Strubel, le directeur général de l’Anssi. Crédit photo GT.