F5 victime d’une cyberattaque d’État, la Chine soupçonnée d’un accès persistant d’un an à ses systèmes
📩 Pour nous contacter: redaction@frenchweb.fr
Le fournisseur américain de cybersécurité F5, basé à Seattle, a confirmé avoir subi une cyberattaque majeure menée par un acteur étatique « hautement sophistiqué », que plusieurs sources gouvernementales attribuent à la Chine. L’entreprise reconnaît que les assaillants ont maintenu « un accès persistant et de longue durée » à certains de ses systèmes, notamment l’environnement de développement de son produit phare BIG-IP, utilisé par de nombreuses entreprises du Fortune 500 et des agences fédérales.
Une compromission discrète et prolongée
Selon F5, « en août 2025, nous avons appris qu’un acteur de menace étatique hautement sophistiqué avait maintenu un accès persistant à long terme et téléchargé des fichiers depuis certains systèmes F5 ». Les investigations ont confirmé que ces fichiers contenaient « une partie du code source de BIG-IP et des informations sur des vulnérabilités non encore divulguées ».
La société précise toutefois qu’elle « n’a connaissance d’aucune vulnérabilité critique ou d’exécution de code à distance non divulguée » et qu’elle « n’a observé aucune exploitation active » des failles identifiées.
Les intrusions auraient duré près d’un an avant d’être détectées. Le PDG François Locoh-Donou aurait personnellement informé plusieurs grands clients de la chronologie de l’incident et des mesures prises.
Un code source ciblé, mais une chaîne logicielle intacte
Dans son communiqué, F5 affirme ne disposer « d’aucune preuve de modification de sa chaîne d’approvisionnement logicielle, y compris de son code source et de ses pipelines de compilation et de distribution ». Cette évaluation a été confirmée par les audits indépendants menés par NCC Group et IOActive.
L’entreprise ajoute qu’elle « n’a trouvé aucune preuve d’accès ou d’exfiltration de données depuis ses systèmes CRM, financiers ou de support », bien que « certains fichiers exfiltrés contenaient des informations de configuration ou d’implémentation pour un petit pourcentage de clients ». Ces derniers seront contactés directement.
Aucune trace d’activité malveillante n’a été relevée sur NGINX, F5 Distributed Cloud Services ou Silverline, les autres produits stratégiques du groupe.
Une réponse coordonnée avec les autorités et les experts
F5 indique avoir immédiatement « activé ses processus de réponse à incident » et s’être entourée de « CrowdStrike, Mandiant et d’autres experts de premier plan » pour contenir la menace. L’entreprise assure que « depuis le lancement de ces activités, aucune nouvelle activité non autorisée n’a été observée » et estime que ses « efforts de confinement ont été couronnés de succès ».
La société précise être « activement engagée avec les forces de l’ordre et ses partenaires gouvernementaux » et poursuit « la mise en œuvre de mesures supplémentaires pour renforcer la posture de sécurité de ses environnements d’entreprise et de produits ».
Parmi ces mesures figurent la rotation des identifiants, le renforcement des contrôles d’accès, la refonte de l’architecture réseau, et le déploiement de nouvelles capacités de surveillance et de réponse.
Des recommandations urgentes aux clients
Dans sa communication client, F5 recommande la mise à jour immédiate des logiciels BIG-IP, F5OS, BIG-IQ, APM et BIG-IP Next for Kubernetes, disponibles dans sa Quarterly Security Notification d’octobre 2025. « Bien que nous n’ayons connaissance d’aucune vulnérabilité critique non divulguée, nous conseillons fortement de mettre à jour votre logiciel BIG-IP dès que possible », indique l’entreprise.
F5 a également diffusé un guide de chasse aux menaces lié au malware Brickstorm, attribué au groupe chinois UNC5221, connu pour voler du code source afin d’exploiter les failles découvertes dans les produits de sécurité. Ce guide fournit des méthodes de détection, des pratiques de durcissement, et des instructions d’intégration SIEM.
Un incident à portée systémique
Les autorités américaines et britanniques ont réagi avec fermeté. La CISA a publié une directive d’urgence qualifiant la compromission de F5 de « menace cyber significative » et a exigé de toutes les agences fédérales qu’elles appliquent les mises à jour avant le 22 octobre. Au Royaume-Uni, le National Cyber Security Centre (NCSC) a recommandé aux organisations d’évaluer leurs déploiements de produits F5 et de signaler tout signe de compromission.
Réorganisation interne et continuité opérationnelle
F5 indique que « cet incident n’a pas eu d’impact matériel sur les opérations » et poursuit l’évaluation de ses implications financières. L’entreprise a par ailleurs nommé Michael Montoya au poste de Chief Technology Operations Officer à compter du 13 octobre 2025, chargé de « piloter la stratégie et l’exécution de la sécurité à l’échelle de l’entreprise ».
