Selon un haut responsable fédéral, des pirates informatiques ont réussi à contourner les défenses en compromettant les pare-feu au sein du gouvernement fédéral.
Jeudi, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a envoyé une directive urgente demandant aux agences de sécuriser les pare-feu Cisco et de rechercher tout signe de compromission.
Chris Butera, directeur adjoint par intérim de la division cybersécurité de la CISA, a même demandé à d'autres organismes gouvernementaux et entreprises privées de prendre des précautions similaires, soulignant que la menace est généralisée.
Selon un responsable américain, une dizaine d'organisations dans le monde ont été victimes de cyberattaques, un chiffre qui pourrait augmenter. Ce responsable a indiqué que de nombreuses zones d'ombre subsistaient concernant cette campagne. Un autre responsable américain a qualifié la campagne de « très sophistiquée » et a souligné la complexité du logiciel malveillant utilisé par les pirates.
« La CISA est profondément préoccupée par cette activité », a déclaré le second responsable. « Si les agences ne réagissent pas immédiatement, cela pourrait leur nuire. »
Deux failles critiques (CVE-2025-20333 et CVE-2025-20363) et une faille moyenne (CVE-2025-20362) — ont affecté les dispositifs Adaptive Security Appliance et Firepower Threat Defense de Cisco qui utilisent le logiciel ASA.
Cisco qualifie les méthodes des attaquants de complexes et sophistiquées
Le groupe, que Cisco nomme ArcaneDoor, mènerait des opérations d'espionnage depuis l'année dernière. Selon la CISA, leurs attaques pourraient affecter des infrastructures critiques aux États-Unis. Washington se prépare néanmoins à des jours intenses, tandis que des équipes s'efforcent de détecter les pirates et de sécuriser les appareils vulnérables avant que les dégâts ne s'aggravent. Les agences doivent mettre à jour leurs rapports et les soumettre d'ici vendredi.
Cisco a indiqué à la presse avoir collaboré avec plusieurs agences en mai pour enquêter sur les piratages et avoir par la suite découvert trois vulnérabilités supplémentaires exploitées par les attaquants. L'entreprise a précisé que ces derniers avaient utilisé ces failles pour installer des logiciels malveillants, exécuter des commandes et potentiellement dérober des données. Cisco a également conseillé à ses clients de corriger immédiatement leurs systèmes. Le gouvernement britannique avait également émis son propre avertissement jeudi, qualifiant le logiciel malveillant des pirates de « progrès majeur » par rapport à leurs outils précédents.
D'après l'analyse de Cisco, les pirates ont exploité plusieurs failles zero-day et utilisé des techniques furtives telles que la désactivation de la journalisation, le détournement de commandes et le plantage de périphériques pour éviter d'être détectés. L'entreprise qualifie d'ailleurs ces tactiques de complexes et sophistiquées. Parmi les appareils compromis figuraient certains modèles de la gamme Cisco ASA 5500-X, qui servent de pare-feu pour protéger les réseaux d'entreprise contre les attaques.
Les analystes pensent qu'un groupe lié à la Chine était impliqué dans l'attaque
Pour l'instant, les autorités n'ont identifié aucun suspect, mais les chercheurs pensent que les pirates sont liés à la Chine et qu'ils exploitaient les failles de sécurité de Cisco depuis un certain temps. Butera a affirmé que leur directive permettra de déterminer l'étendue exacte de la compromission affectant les réseaux fédéraux.
L'unité 42 de Palo Alto Networks a également indiqué à CNN qu'elle soupçonnait la Chine d'être à l'origine de cette campagne et a souligné que d'autres groupes pourraient bientôt exploiter les mêmes failles, maintenant que les vulnérabilités et les correctifs sont publics. Sam Rubin, vice-dent senior de l'unité 42, a réaffirmé : « Comme nous l'avons déjà constaté, la disponibilité des correctifs devrait entraîner une intensification des attaques, les groupes cybercriminels apprenant rapidement à tirer profit de ces vulnérabilités. » Palo Alto surveille les pirates informatiques du monde entier et, selon ses dires, le groupe a modifié ses tactiques et se tourne de plus en plus vers des entités américaines.
Cette révélation intervient quelques jours seulement après que Mandiant, filiale de Google, a annoncé qu'un autre groupe de pirates informatiques chinois présumés avait infiltré des sociétés de développement de logiciels et des cabinets d'avocats américains dans le cadre d'une campagne d'espionnage liée au différend commercial sino-américain. L'entreprise a indiqué que la résolution complète du problème pourrait prendre plusieurs mois.
