Connexion
F5 piratée (et pas qu’un peu) par un État-nation : des mises à jour à installer d’urgence !
F5, reload !
L’entreprise spécialisée dans la gestion de réseau et la cybersécurité a été infiltrée pendant une longue période par un État-nation. Dans la besace des pirates, du code source et des informations sur des failles non encore corrigées. Plus que jamais, il est urgent de se mettre à jour !
F5 est une société américaine spécialisée dans la gestion des réseaux et la sécurité. Elle s’est payée NGINX en 2019 pour 370 millions de dollars. Le produit phare de l’entreprise, BIG-IP, « fournit une suite complète de services application hautement programmables et automatisables pour les charges de travail hybrides et multicloud ». L’entreprise revendique plus de 1 000 clients à travers le monde, et affirme avoir « la confiance de 85 % des entreprises du Fortune 500 ».
Quatre mots : exfiltration, État-nation, longue durée, persistant
F5 vient d’annoncer ce qui peut arriver de pire ou presque : « En août 2025 [le 9 août précisément, ndlr], nous avons appris qu’un acteur malveillant très sophistiqué lié à un État-nation a maintenu sur une longue période un accès persistant à certains systèmes F5 et téléchargeait des fichiers ». Le pays n’est pas précisé, mais plusieurs sources et soupçons ciblent la Chine.
Les documents ne sont pas anodins : « notre environnement de développement de produits BIG-IP et nos plateformes de gestion des connaissances en ingénierie » sont concernées. Cela comprend notamment « des informations sur des vulnérabilités de BIG-IP non divulguées et sur lesquelles [l’entreprise] travaillait ». Pour un « petit pourcentage de clients […] des informations de configuration ou d’implémentation » sont également dans la nature.
La brèche a été colmatée et, depuis, aucune activité malveillante n’a été identifiée par la société. F5 a fait appel à « CrowdStrike, Mandiant et à d’autres experts en cybersécurité » pour l’aider dans ses analyses. Des cabinets de recherche en cybersécurité (NCC Group et IOActive) ont examiné la chaine d’approvisionnement logicielle, sans trouver de trace de compromission, « y compris le code source, les applications et le pipeline de publication ».
Une bonne nouvelle dans cette tempête : « Nous n’avons aucune preuve que l’acteur malveillant ait accédé ou modifié le code source de NGINX ou son environnement de développement, ni qu’il ait accédé ou modifié les produits F5 Distributed Cloud Services ou Silverline ».
La méthode utilisée par les pirates pour infiltrer le réseau de F5 n’est pas précisée, pas plus que la durée pendant laquelle ils sont restés dans les systèmes.
50 CVE, près d’une trentaine à au moins 8,7 sur 10
Le risque est réel. Exploiter une faille des logiciels F5 « pourrait permettre à un acteur malveillant d’accéder aux informations d’identification intégrées et aux clés API, de se déplacer latéralement au sein du réseau d’une organisation, d’exfiltrer des données et d’établir un accès permanent au système ».
Une cinquantaine de CVE sont listées, dont plus de la moitié classées avec un niveau de sévérité élevé. Les scores CVSS grimpent jusqu’à 8,8 sur 10. Une petite trentaine de failles ont un score de 8,7 ou 8,8. Des conseils pour les clients sont disponibles sur cette page.
Mettez-vous à jour, sans attendre (vraiment !)
Des mises à jour pour les clients BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et APM sont disponibles. « Nous vous conseillons vivement de mettre à jour ces nouvelles versions dès que possible », ajoute l’entreprise (en gras dans le communiqué).
Le National Cyber Security Centre (NCSC) anglais recommande aussi aux organisations de se mettre à jour sans attendre. La CISA des États-Unis laisse une semaine, jusqu’au 22 octobre 2025, aux agences de la Federal Civilian Executive Branch (FCEB) pour « inventorier les produits F5 BIG-IP, évaluer si les interfaces de gestion en réseau sont accessibles à partir de l’Internet public et appliquer les mises à jour de F5 ». Recommandation de bon sens de la CISA : « Avant d’appliquer la mise à jour, vérifiez les sommes de contrôle MD5 ».
Michael Montoya quitte le conseil et devient directeur des opérations
Dans une notice transmise à la SEC (gendarme boursier américain), F5 précise que « le Département de la Justice des États-Unis a déterminé qu’un report de la divulgation publique était justifié conformément à l’Article 1.05(c) du Formulaire 8-K ».
On y apprend aussi que Michael Montoya a démissionné le 9 octobre de son poste d’administrateur du conseil d’administration, avec effet immédiat. Il était également présent au sein de plusieurs comités de l’entreprise, dont celui des… risques. De 11 places, le conseil passe à 10.
« Sa décision de démissionner du conseil d’administration n’était pas le résultat d’un désaccord avec F5 », affirme l’entreprise. Il reste au sein de l’entreprise, comme directeur des opérations technologiques depuis le 13 octobre.
En bourse, l’effet ne s’est pas fait attendre avec une baisse de 4 % environ du titre, qui revient à ce qu’elle était mi-septembre. Une date est à retenir : le 27 octobre 2025. Ce sera la publication de son bilan annuel et le sujet de cette cyberattaque semble incontournable.
![[Édito] Arrêtons de compter la puissance de calcul des GPU en GW, ça ne veut rien dire !](https://next.ink/wp-content/uploads/2025/10/Gloubiboulga.webp)
