La société américaine de cybersécurité F5 a révélé que des pirates informatiques de l’État-Nation avaient violé ses systèmes et volé des vulnérabilités de sécurité et du code source BIG-IP non divulgués.
L’entreprise déclare qu’elle a pris connaissance de la violation pour la première fois le 9 août 2025, ses enquêtes révélant que les attaquants avaient obtenu un accès à long terme à son système, y compris l’environnement de développement de produits BIG-IP de l’entreprise et la plate-forme de gestion des connaissances en ingénierie.
F5 est un géant technologique Fortune 500 spécialisé dans la cybersécurité, la gestion du cloud et les applications ADN (application delivery networking). La société compte 23 000 clients dans 170 pays et 48 des entités Fortune 50 utilisent ses produits.
BIG-IP est le produit phare de l’entreprise utilisé pour la livraison d’applications et la gestion du trafic par de nombreuses grandes entreprises dans le monde entier.
Aucun risque pour la chaîne d’approvisionnement
On ne sait pas combien de temps les pirates ont maintenu l’accès, mais la société a confirmé qu’ils avaient volé le code source, les données de vulnérabilité et certains détails de configuration et d’implémentation pour un nombre limité de clients.
« Grâce à cet accès, certains fichiers ont été exfiltrés, dont certains contenaient certaines parties du code source BIG-IP de l’entreprise et des informations sur les vulnérabilités non divulguées sur lesquelles elle travaillait dans BIG-IP », déclare l’entreprise.
Malgré cette exposition critique de failles non divulguées, F5 affirme qu’il n’y a aucune preuve que les attaquants aient exploité les informations lors d’attaques réelles, telles que l’exploitation de la faille non divulguée contre des systèmes. La société déclare également qu’elle n’a pas vu de preuve que les informations privées ont été divulguées.
F5 affirme que l’accès des acteurs de la menace à l’environnement BIG-IP n’a pas compromis sa chaîne d’approvisionnement logicielle ni entraîné de modifications de code suspectes.
Cela inclut ses plateformes qui contiennent des données client,telles que ses systèmes CRM, financiers, de gestion des dossiers d’assistance ou iHealth. De plus, les autres produits et plates-formes gérés par la société ne sont pas compromis, y compris NGINX, les services Cloud distribués F5 ou le code source de Silverline Systems.
Réponse à la violation
Après avoir découvert l’intrusion, F5 a pris des mesures correctives en resserrant l’accès à ses systèmes et en améliorant ses capacités globales de surveillance, de détection et de réponse aux menaces:
- Rotation des identifiants et renforcement des contrôles d’accès dans nos systèmes.
- Déploiement d’une automatisation améliorée de la gestion des stocks et des correctifs, ainsi que d’outils supplémentaires pour mieux surveiller, détecter et répondre aux menaces.
- Améliorations apportées à notre architecture de sécurité réseau.
- Nous avons renforcé notre environnement de développement de produits, notamment en renforçant les contrôles de sécurité et la surveillance de toutes les plateformes de développement de logiciels.
De plus, la société se concentre également sur la sécurité de ses produits grâce à des revues de code source et des évaluations de sécurité avec le soutien de NCC Group et IOActive.
L’évaluation du Groupe NCC a porté sur les examens de sécurité des composants logiciels critiques dans BIG-IP et des parties du pipeline de développement dans un effort qui a impliqué 76 consultants.
L’expertise d’IOActive a été sollicitée après la faille de sécurité et l’engagement est toujours en cours. Les résultats obtenus jusqu’à présent ne montrent aucune preuve que l’auteur de la menace a introduit des vulnérabilités dans le code source du logiciel critique F5 ou dans le pipeline de développement de logiciels.
Les clients doivent agir
F5 examine toujours quels clients se sont fait voler leurs détails de configuration ou d’implémentation et les contactera avec des conseils.
Pour aider les clients à sécuriser leurs environnements F5 contre les risques liés à la violation, la société a publié des mises à jour pour BIG-IP, F5OS, BIG-IP Next pour les clients Kubernetes, BIG-IQ et APM.
Malgré toute preuve « de vulnérabilités critiques ou d’exécution de code à distance non divulguées », la société exhorte les clients à donner la priorité à l’installation des nouvelles mises à jour logicielles BIG-IP.
De plus, le support F5 met à la disposition des clients un guide de chasse aux menaces pour améliorer la détection et la surveillance de leur environnement.
Les nouvelles meilleures pratiques pour renforcer les systèmes F5 incluent désormais des vérifications automatisées de l’outil de diagnostic F5 iHealth, qui peut désormais signaler les risques de sécurité, les vulnérabilités, hiérarchiser les actions et fournir des conseils de correction.
Une autre recommandation consiste à activer la diffusion d’événements BIG-IP vers SIEM et à configurer les systèmes pour qu’ils se connectent à un serveur syslog distant et surveillent les tentatives de connexion.
« Notre équipe d’assistance mondiale est disponible pour vous aider. Vous pouvez ouvrir un dossier d’assistance MyF5 ou contacter directement l’assistance F5 pour obtenir de l’aide sur la mise à jour de votre logiciel BIG-IP, la mise en œuvre de l’une de ces étapes ou pour répondre à toutes vos questions » – F5
La société a ajouté qu’elle avait validé la sécurité des versions BIG-IP grâce à de multiples examens indépendants effectués par des sociétés de cybersécurité de premier plan, notamment CrowdStrike et Mandiant.
Des conseils supplémentaires pour les clients F5 proviennent du National Cyber Security Center (NCSC) du Royaume-Uni et de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.
Les deux agences recommandent d’identifier tous les produits F5 (matériels, logiciels et virtualisés) et de s’assurer qu’aucune interface de gestion n’est exposée sur le Web public. Si une interface exposée est découverte, les entreprises doivent évaluer les compromis.
F5 note qu’il a retardé la divulgation publique de l’incident à la demande du gouvernement américain, probablement pour laisser suffisamment de temps pour sécuriser les systèmes critiques.
« Le 12 septembre 2025, le département de la Justice des États-Unis a déterminé qu’un retard dans la divulgation publique était justifié en vertu de l’article 1.05(c) du formulaire 8-K. F5 dépose maintenant ce rapport en temps opportun », explique F5.
F5 déclare que l’incident n’a aucune incidence matérielle sur ses opérations. Tous les services restent disponibles et sont considérés comme sûrs, sur la base des dernières preuves disponibles.
Breachtrace a contacté F5 pour demander plus de détails sur l’incident, et nous mettrons à jour ce message lorsque nous recevrons une réponse.