F5 BIG-IP : une faille critique expose 266 000 réseaux dans le monde

Des pirates liés à un État ont infiltré les systèmes de F5 et volé le code source de ses produits BIG-IP. Une faille critique qui soulève un risque immédiat pour des milliers d’entreprises et institutions.

La découverte a agi comme un électrochoc dans le monde des infrastructures réseau. L’entreprise américaine F5, fournisseur clé de solutions de gestion de trafic et de sécurité applicative, a révélé qu’un groupe d’espionnage étatique avait infiltré son environnement interne pendant des mois, voire des années. L’attaque a visé directement le cœur de la chaîne de développement de F5 BIG-IP, un produit déployé dans les plus grandes entreprises mondiales et dans de nombreuses administrations publiques.

Une compromission à la racine du réseau mondial

Selon Wired, les intrus ont obtenu un accès complet au système de construction et de mise à jour des produits F5. Cette compromission leur a permis de récupérer le code source de F5 BIG-IP, des informations techniques confidentielles et la documentation sur des failles encore non corrigées. Ces données leur offrent une connaissance inédite des faiblesses de la solution, ouvrant la voie à d’éventuelles attaques en chaîne contre les clients de F5.

BIG-IP occupe une place stratégique dans les réseaux : il agit comme répartiteur de charge, pare-feu applicatif et gestionnaire du chiffrement du trafic. En d’autres termes, il se trouve au point de passage de toutes les communications internes et externes d’une organisation. Lorsqu’un tel composant est compromis, l’adversaire peut observer, rediriger ou manipuler le flux des données sans être détecté. C’est précisément ce qui inquiète les autorités américaines, qui parlent d’une « menace imminente » pour des milliers de réseaux sensibles.

Des vulnérabilités critiques et un risque d’exploitation massif

D’après SOCRadar, F5 a publié en urgence quarante-quatre correctifs couvrant plusieurs familles de produits, dont BIG-IP, F5OS et BIG-IQ. Parmi eux, plusieurs failles atteignent des scores CVSS supérieurs à 8,7, notamment dans les modules SFTP, SSL/TLS et de gestion d’accès. Ces vulnérabilités pouvaient permettre à un acteur malveillant d’exécuter du code à distance, d’élever ses privilèges ou de provoquer des dénis de service sur les équipements.

Les autorités, notamment la CISA aux États-Unis, ont exigé des correctifs immédiats pour toutes les instances BIG-IP exposées à Internet, sous peine de déconnexion. Le rapport de BleepingComputer révèle que plus de 266 000 dispositifs F5 restent accessibles en ligne, dont 142 000 aux États-Unis et près de 100 000 en Europe et en Asie. Cette surface d’exposition crée un terrain idéal pour une exploitation rapide, surtout depuis que le code source et les vulnérabilités volées circulent dans des cercles restreints.

Une attaque qui s’inscrit dans une tendance inquiétante

Selon Unit 42, cette attaque n’est pas isolée. Elle prolonge une série de compromissions menées par des groupes soutenus par des États, souvent liés à la Chine, visant les technologies réseau et les éditeurs de logiciels d’infrastructure. Ces campagnes exploitent régulièrement des vulnérabilités critiques dans BIG-IP pour installer des portes dérobées, voler des identifiants et maintenir un accès durable dans les réseaux ciblés.

L’affaire F5 illustre la vulnérabilité des maillons centraux du numérique mondial : les outils de gestion du trafic et de la sécurité applicative, devenus indispensables à la résilience des entreprises. Le vol de code et de vulnérabilités non publiées pourrait accélérer la création d’exploits avant la mise à disposition de correctifs publics. En réponse, F5 a durci ses contrôles d’accès, renouvelé ses certificats de signature et renforcé la supervision de ses pipelines de développement.

L’incident rappelle que la chaîne logicielle est désormais l’un des terrains les plus sensibles du cyberespace. Quand un acteur étatique s’en empare, c’est l’ensemble de l’écosystème numérique mondial qui vacille. L’affaire F5 pourrait ainsi marquer un tournant dans la manière dont les fournisseurs d’infrastructures critiques surveillent et sécurisent leurs propres environnements.

Comprendre F5 BIG-IP et la gravité de la faille

F5 BIG-IP est une gamme d’appliances et de logiciels conçus pour gérer le trafic applicatif, assurer la répartition de charge, protéger les applications web et chiffrer les flux de données. Placé entre les serveurs et les utilisateurs, il agit comme un point de contrôle central pour la performance, la disponibilité et la sécurité des applications. Il est utilisé par les plus grandes entreprises et administrations, ce qui en fait une composante stratégique de l’infrastructure Internet mondiale.

Rôle et fonctionnement de BIG-IP

Concrètement, BIG-IP se situe à la frontière du réseau, au plus près des serveurs. Il répartit les connexions entre plusieurs serveurs (load balancing), applique des politiques de sécurité via son pare-feu applicatif (WAF) et chiffre le trafic entrant et sortant (SSL/TLS). En interceptant chaque requête, il peut aussi inspecter et filtrer les paquets pour détecter des comportements suspects. Ce rôle en fait une porte d’entrée privilégiée : si BIG-IP est compromis, c’est tout le réseau interne qui devient vulnérable.

Nature de la vulnérabilité

La faille découverte dans le cadre de l’attaque contre F5 ne concerne pas une seule vulnérabilité isolée, mais un ensemble d’informations sensibles dérobées à la source même du développement des produits BIG-IP. Les pirates ont accédé au code source, aux guides techniques et aux détails de failles encore non publiées. Parmi elles, plusieurs vulnérabilités critiques ont été identifiées, dont :

• CVE-2025-53868 : vulnérabilité dans les modules SCP/SFTP de BIG-IP, permettant un accès non autorisé à distance.
• CVE-2025-61955 et CVE-2025-57780 : failles d’escalade de privilèges dans F5OS, le système d’exploitation des équipements.
• CVE-2025-60016 : vulnérabilité SSL/TLS pouvant exposer des métadonnées de trafic chiffré.

Ces failles, combinées au vol de code et de configurations clients, offrent à un attaquant une vision complète des faiblesses du système, facilitant l’exploitation ciblée ou la création d’outils d’attaque automatisés.

Pourquoi cette faille est critique

BIG-IP n’est pas un simple serveur : il gère le trafic de milliers d’organisations et se trouve souvent directement exposé à Internet. Une vulnérabilité dans ce composant peut donner à un attaquant un contrôle total sur le flux réseau, lui permettant :

• d’intercepter ou de déchiffrer des communications sensibles ;
• d’exécuter du code à distance pour prendre le contrôle de l’appareil ;
• de se déplacer latéralement vers d’autres systèmes internes ;
• d’utiliser BIG-IP comme tremplin pour des attaques contre des applications ou utilisateurs finaux.

Parce que ces équipements sont massivement utilisés dans les infrastructures critiques, leur compromission a un effet multiplicateur : une faille sur un seul fournisseur peut se propager à des milliers de réseaux clients.

Mode d’exploitation possible

Les attaquants peuvent exploiter ces vulnérabilités de plusieurs façons :

1. Exploitation directe : en ciblant les interfaces d’administration de BIG-IP exposées à Internet, souvent accessibles sur le port 443.
2. Abus de configurations : en exploitant des paramètres clients dérobés, permettant de contourner des restrictions internes.
3. Attaque en chaîne : en injectant du code malveillant dans les flux de mise à jour ou dans le trafic transitant par BIG-IP.
4. Persistance : une fois le contrôle obtenu, l’attaquant peut créer des comptes d’administration cachés ou modifier les règles réseau pour rester invisible.

C’est ce potentiel d’exploitation combiné – accès au code source, connaissance de vulnérabilités inédites et exposition massive d’équipements – qui fait du cas F5 BIG-IP l’un des incidents les plus graves de ces dernières années pour la sécurité des infrastructures réseau.