F5 piratée (et pas qu’un peu) par un État-nation : des mises à jour à installer d’urgence !

F5, reload !

L’entreprise spécialisée dans la gestion de réseau et la cybersécurité a été infiltrée pendant une longue période par un État-nation. Dans la besace des pirates, du code source et des informations sur des failles non encore corrigées. Plus que jamais, il est urgent de se mettre à jour !

Sébastien Gavois

Le 16 octobre à 11h26

5 min

Sécurité

F5 est une société américaine spécialisée dans la gestion des réseaux et la sécurité. Elle s’est payée NGINX en 2019 pour 370 millions de dollars. Le produit phare de l’entreprise, BIG-IP, « fournit une suite complète de services application hautement programmables et automatisables pour les charges de travail hybrides et multicloud ». L’entreprise revendique plus de 1 000 clients à travers le monde, et affirme avoir « la confiance de 85 % des entreprises du Fortune 500 ».

Quatre mots : exfiltration, État-nation, longue durée, persistant

F5 vient d’annoncer ce qui peut arriver de pire ou presque : « En août 2025 [le 9 août précisément, ndlr], nous avons appris qu’un acteur malveillant très sophistiqué lié à un État-nation a maintenu sur une longue période un accès persistant à certains systèmes F5 et téléchargeait des fichiers ». Le pays n’est pas précisé, mais plusieurs sources et soupçons ciblent la Chine.

Les documents ne sont pas anodins : « notre environnement de développement de produits BIG-IP et nos plateformes de gestion des connaissances en ingénierie » sont concernées. Cela comprend notamment « des informations sur des vulnérabilités de BIG-IP non divulguées et sur lesquelles [l’entreprise] travaillait ». Pour un « petit pourcentage de clients […] des informations de configuration ou d’implémentation » sont également dans la nature.

La brèche a été colmatée et, depuis, aucune activité malveillante n’a été identifiée par la société. F5 a fait appel à « CrowdStrike, Mandiant et à d’autres experts en cybersécurité » pour l’aider dans ses analyses. Des cabinets de recherche en cybersécurité (NCC Group et IOActive) ont examiné la chaine d’approvisionnement logicielle, sans trouver de trace de compromission, « y compris le code source, les applications et le pipeline de publication ».

Une bonne nouvelle dans cette tempête : « Nous n’avons aucune preuve que l’acteur malveillant ait accédé ou modifié le code source de NGINX ou son environnement de développement, ni qu’il ait accédé ou modifié les produits F5 Distributed Cloud Services ou Silverline ».

La méthode utilisée par les pirates pour infiltrer le réseau de F5 n’est pas précisée, pas plus que la durée pendant laquelle ils sont restés dans les systèmes.

50 CVE, près d’une trentaine à au moins 8,7 sur 10

Le risque est réel. Exploiter une faille des logiciels F5 « pourrait permettre à un acteur malveillant d’accéder aux informations d’identification intégrées et aux clés API, de se déplacer latéralement au sein du réseau d’une organisation, d’exfiltrer des données et d’établir un accès permanent au système ».

Une cinquantaine de CVE sont listées, dont plus de la moitié classées avec un niveau de sévérité élevé. Les scores CVSS grimpent jusqu’à 8,8 sur 10. Une petite trentaine de failles ont un score de 8,7 ou 8,8. Des conseils pour les clients sont disponibles sur cette page.

Le CERT-FR dresse une liste des principaux risques : atteinte à l'intégrité et à la confidentialité des données, contournement de la politique de sécurité, déni de service à distance, falsification de requêtes côté serveur (SSRF), injection de code indirecte à distance (XSS) et élévation de privilèges.

Mettez-vous à jour, sans attendre (vraiment !)

Des mises à jour pour les clients BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et APM sont disponibles. « Nous vous conseillons vivement de mettre à jour ces nouvelles versions dès que possible », ajoute l’entreprise (en gras dans le communiqué).

Le National Cyber Security Centre (NCSC) anglais recommande aussi aux organisations de se mettre à jour sans attendre. La CISA des États-Unis laisse une semaine, jusqu’au 22 octobre 2025, aux agences de la Federal Civilian Executive Branch (FCEB) pour « inventorier les produits F5 BIG-IP, évaluer si les interfaces de gestion en réseau sont accessibles à partir de l’Internet public et appliquer les mises à jour de F5 ». Recommandation de bon sens de la CISA : « Avant d’appliquer la mise à jour, vérifiez les sommes de contrôle MD5 ».

Michael Montoya quitte le conseil et devient directeur des opérations

Dans une notice transmise à la SEC (gendarme boursier américain), F5 précise que « le Département de la Justice des États-Unis a déterminé qu'un report de la divulgation publique était justifié conformément à l'Article 1.05(c) du Formulaire 8-K ».

On y apprend aussi que Michael Montoya a démissionné le 9 octobre de son poste d’administrateur, avec effet immédiat. Il était également présent au sein de plusieurs comités de l’entreprise, dont celui des… risques. De 11 places, le conseil passe à 10.

« Sa décision de démissionner du conseil d’administration n’était pas le résultat d’un désaccord avec F5 », affirme l’entreprise. Il reste au sein de l’entreprise, comme directeur des opérations technologiques depuis le 13 octobre.

En bourse, l’effet ne s’est pas fait attendre avec une baisse de 4 % environ du titre, qui revient à ce qu’elle était mi-septembre. Une date est à retenir : le 27 octobre 2025. Ce sera la publication de son bilan annuel et le sujet de cette cyberattaque semble incontournable.

Commentaires (19)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

ilink Premium

Le 16/10/2025 à 11h47

Pauvre touche F5 à force de se faire taper dessus pour rafraîchir la page..

Brozowski Premium

Le 16/10/2025 à 11h58

> vérifiez les sommes de contrôle MD5

Pour une entreprise spécialisée dans la cybersécurité, ce n'est pas un peu léger, voir irresponsable d'utiliser l’algorithme MD5 en somme de contrôle ? C'est pas comme si SHA256 était utilisé depuis un moment déjà par beaucoup d'acteurs pour cet usage ...

RuMaRoCO Premium

Le 16/10/2025 à 12h29

Cordonniers, chaussures tout ça tout ça ?

ragoutoutou Premium

Le 17/10/2025 à 10h48

Sauf que ce ne sont pas des cordonniers si on regarde leurs "produits"... il y a quelques années j'avais épluché une de leur solution qui posait un problème de compatibilité et j'ai trouvé des librairies opensource assez vieilles pour avoir le droit de vote (et une liste de cve longue comme le bras)

Berbe Premium

Modifié le 16/10/2025 à 13h17

Effectivement, MD5 n'est plus un algorithme de hachage considéré comme cryptographique.

Cependant, l'exploitation de collisions sur la signature nécessite de s'intéresser à la possibilité de créer une telle collision, en temps de calcul raisonnable, aboutissant à un fichier modifié contenant une charge utile exploitable par l'attaquant.
De préférence, on souhaiterait aussi conserver les propriétés d'origine du document (fonctionnement d'un patch, même fonctionnement apparent d'un exécutable ou d'une bibliothèque, etc.) pour ne pas lever directement une alerte.
Enfin, on parle ici probablement de ressources binaires.

La réalité d'une telle exploitation me semble hors de portée. Elle n'a par ailleurs jamais été démontrée dans de tels cas.
Le mieux que l'on ait pu avoir est l'exploitation par Rainbow Tables sur des signatures de mots de passe, sur des ressources texte & assimilées (PDF), ou encore sur des programmes de démonstration modifiés à la source et pas à destination.

Ainsi :
- affirmer que MD5 n'est plus cryptographique par possibilité de collision est vrai
- affirmer qu'utiliser MD5 pour la signature de fichiers est irresponsable est abusif

Kara(Wo)Man Premium

Le 16/10/2025 à 14h16

Disons qu'il y a une différence entre un l'utilisation du MD5 pour vérifier l'intégrité d'un fichier (surtout de taille conséquente), pour lequel créer un fichier modifié avec la même somme de contrôle est quasi impossible vu l'improbabilité de collisions sur un calcul aussi gros.
Par contre, pour de petites chaînes comme un mot de passe, c'est bien plus problématique, mais pas du tout pour les mêmes raisons (parce que, là, on ne cherche pas à altérer une information en faisant croire qu'elle est bonne, mais à la déchiffrer). Le MD5 est, du coup, déconseillé surtout parce qu'on peut faire du bruteforce et/ou utiliser des rainbow table de façon plus efficace qu'avec du SHA256 (ou plus) parce que le temps processeur pour les calculs est bien moindre. Sans compter que le MD5 est rarement salé là où (pour l'enregistrement des mots de passes - contrairement aux sommes de contrôle de fichiers) il l'est avec le SSHA*, ce qui rend le brute force et l'utilisation de tables bien plus gourmand en calcul.

ragoutoutou Premium

Le 17/10/2025 à 10h52

Utiliser MD5 en cryptographie est irresponsable

Du coup:
- utiliser MD5 pour vérifier l'intégrité d'un fichier est OK
- utiliser MD5 pour vérifier l'authenticité d'un fichier est irresponsable

Berbe Premium

Modifié le 16/10/2025 à 13h31

nginx est mort, que vive freenginx !

aware2 Premium

Le 16/10/2025 à 13h40

Si la société a fait appel à ClownStrike pour l'aider, on est rassuré

xillibit Premium

Le 16/10/2025 à 16h04

Dans la besace des pirates, du code source et des informations sur des failles non encore corrigées. Plus que jamais, il est urgent de se mettre à jour !
Si les failles sont non corrigés, les mises à jour ne changeront rien du coup

Sébastien Gavois Équipe

Le 16/10/2025 à 16h30

Les failles ont été dérobées avant le 9 aout, les correctifs publiés maintenant corrigent le tir

gg40 Premium

Le 17/10/2025 à 08h22

Comme quoi.... Quand le code est "ouvert", bizarrement les sociétés se bougent pour fixer

skan

Le 17/10/2025 à 09h25

Pourquoi avoir attendu les fuites/vols pour publier les correctifs?

Tanyuu Premium

Le 17/10/2025 à 10h50

C'est peut-être naïf comme réponse mais ça prend un peu de temps de créer un correctif, ils travaillaient peut-être déjà dessus quand la fuite a eu lieu.
Après, la fuite a surement accéléré leur développement, histoire de réduire les dégâts.

TexMex Premium

Le 17/10/2025 à 09h49

M'est idée que tout ces data-centers érigés au nom de l'IA pourront servir bien des services à un tas de margoulins (ceux dans les états qui font la guerre). Peut-être que l'ordinateur quantique n'y arrive pas, alors on redescend sur le brute force classique.

Le cas MicroSoft des semaines passées ne laisse pas vraiment de doute (D'ailleurs ça devient quoi cette histoire ?). Le digital est dans la guerre depuis un moment.

J'ai toujours trouvé que l'engouement pour l'IA était au mieux déraisonnable mais surtout hallucinant de débauche de moyens. Et quand on voit que la chine s'y met jusqu'à fermer les yeux (officiellement) sur de la contre bande de GPU...

Ça laisse perplexe.

refuznik Premium

Le 17/10/2025 à 16h42

La Chine ne ferme pas les yeux mais elle ne peut l'arrêter qu'aux frontières (vu qu'il y a encore quelques mois tu pouvais acheter certains modèles) car une fois à l'intérieur du pays tu peux revendre ce que tu veux.

TexMex Premium

Le 18/10/2025 à 00h26

La chine a largement les moyens logistiques d'intervenir sur son territoire et aux frontières en même temps. Et même plus si elle veut. Rentrer chez les gens n'est qu'une limite morale. Mais pas forcément celle du parti suivant l'époque.

Donc le jour ou ça l'ennui, elle dira c'est fini et cela sera stoppé.

La chine ayant une population bien plus nombreuse s'est retrouvée confronté à des problèmes auxquels il a fallu apporter des réponses. Ça n'a pas été le gant de velours à chaque épisode.

Mais bon vu les ras de marée que c'est à chaque fois qu'il y a une protestation. Ce n'est pas très plaisant à dire mais la réponse se fait par la force. Et c'est malheureusement la seule option pour cette configuration.

Je ne parle pas de légitimité. C'est encore autre chose. Simplement de puissance des évènements. C'est la différence entre un coup de vent dans le bassin d'Arcachon avec 3 surfeurs qui font de la bronzette et les vagues de x mètres de haut au Cap Horn par temps agité.

Le gouvernement chinois a du mettre en place des moyens en face de X ou Y. Et il les ont. Donc voila.

refuznik Premium

Le 20/10/2025 à 10h47

Disons que tu as une certaine vision de la Chine assez fausse (voir sur certains point rétrograde, désolé, sans vouloir être offensant j'ai pas trouvé d'autre type de mot).

Alors déja la Chine ne peut pas intervenir sur tous son territoire en même temps et encore moins surveiller par la même occasion ses frontières (que ce soit militaire et/ou policier).
Déja regarde la taille du pays et ses frontières continental comme maritime (surtout maritime quant on voit le nombre de petits ports de pêcheurs et autres en sus des gros centres avec conteneurs) :
https://fr.china-embassy.gov.cn/fra/gzzg/201106/t20110609_2573308.htm

Tu peux tout autant t'amuser à faire la comparaison avec les USA, la France ou le pays que tu connais le mieux contre le trafique de drogue par exemple.Je ne sais plus s'il est encore dispo sur youtube mais il y a avait un reportage datant du Covid suivant des douaniers luttant contre le trafique d'animaux (cause nationale en Chine même placé devant la drogue ou le trafique de carte cg) bah c'était pas si simple (et il y en avait un aussi sur les mafias chinoises au niveau drogue sur Arte de mémoire).

Donc il leur reste surtout les points de contrôle s'il y a des crétins qui passent par là (comme en France) mais ça reste une toute petite partie.

https://www.jeuxvideo.com/news/1786647/un-homme-a-tente-de-faire-passer-plus-de-800-processeurs-et-900-barrettes-de-ram-en-chine-en-cachant-sa-voiture-il-s-est-fait-prendre-par-la-douane.htm

Certes la Chine est un pays autoritaire mais c'est pas une dictature contrairement à la Corée du nord par exemple et non on est plus en 66 ou dans de l'idéologie.
Et il n'y a pas de raz de marée lorsqu'il y a des protestations, après si je prends les chiffres que je trouve ça varie de 1000 à 2000 par an (suivant les sites comme Freedom House) et celles-ci sont généralement localisées et il y a pas de grosses répressions voir même l'état essaie de répondre aux préoccupations des personnes.
https://legrandcontinent.eu/fr/2024/08/30/en-chine-le-nombre-de-manifestations-est-a-la-hausse/

TexMex Premium

Le 21/10/2025 à 10h05

Accordons nous sur un désaccord.

J'avance les choses suivantes :
- Depuis Tien Anmen (89) on sait que ça rigole pas avec la contestation. Finir par déclarer la loi martiale après négociation n'est pas vraiment un aveu de bienveillance. Bon et puis avec des chars en pleine rue... Ça se pose là.

D'autre dossiers : Les ouïghours, La propension expansionniste en Afrique, le Tibet fameux pays de la stérilisation forcée; ou les gens (et/ou moine) n'allument pas les bougies pour leurs anniversaires mais eux même. Le « système de crédit social » (shehui xinyong tixi en chinois), reconnaissance faciale (320 caméras / 100 habitants en zone urbaine: pas mal) Bref.

- Le contrôle des frontières prend 2 aspects. Le commerce et le militaire. Je pense que du coté militaire la la chine n'a pas à rougir. Avec autant de bateaux dans la mer du Japon. Pour le commerce vu les volumes de production et l'ordre de grandeur, c'est juste comme tous les grands ports. Il y a les containers qu'on ouvre et ceux avec un astérisque dessus comme partout ailleurs.

Ce que je dis en substance c'est que la chine en tant que superpuissance joue sur le même terrain que d'autres. En cela qu'elle se tire la bourre avec les USA pour le chantier de l'IA qui à mon avis cache autre chose. Donc tant que cela l'arrange, elle ne chipotera pas sur ce qui rentre plus ou moins légalement. Même si la chine fait du semi-conducteurs de manière plus autonome elle a encore des soucis. Dans une autre époque et un contexte différent, elle choisira autrement.