Le 25 juillet 2025, Orange, géant français des télécommunications, annonçait avoir détecté une intrusion dans son système d’information interne. Si l’entreprise se veut rassurante – aucune exfiltration de données confirmée, services clients globalement maintenus – les spécialistes en cybersécurité n’y voient pas qu’un simple incident isolé. Déjà en février 2025, Orange avait été victime d’un piratage massif visant sa filiale en Roumanie. En confrontant les deux événements, un schéma inquiétant se dessine : celui d’une attaque ciblée sur les systèmes back-office, exploitant probablement des failles logicielles et des identifiants compromis.
📅 Rappel des faits – Février 2025 : l’affaire “Rey”
En février, un acteur se faisant appeler Rey, affilié au groupe de cybercriminels HellCat, revendiquait l’intrusion dans un portail interne utilisé par Orange Roumanie.
Le mode opératoire était limpide :
- Accès via un portail exposé (type Jira),
- Utilisation d’identifiants compromis ou faibles,
- Maintien persistant dans l’environnement pendant plus d’un mois,
- Exfiltration massive en moins de trois heures : plus de 12 000 fichiers (~6 Go), incluant des documents internes, e‑mails, code source, factures, et informations sur les employés.
L’entreprise avait refusé d’entrer en négociation. En réponse, les données furent publiées sur des forums underground, avec des fragments relayés sur BreachForums. Aucun service client n’avait été directement affecté, mais l’impact réputationnel était réel.
🚨 Juillet 2025 : une attaque qui rappelle dangereusement la précédente
Cinq mois plus tard, nouvelle alerte rouge : Orange détecte une compromission sur l’un de ses systèmes internes. Selon les premiers éléments communiqués :
- L’attaque a été identifiée vendredi 25 juillet,
- Orange Cyberdefense a isolé les systèmes touchés,
- Des perturbations ont été constatées chez certains clients professionnels,
- L’entreprise affirme ne pas avoir constaté d’exfiltration de données,
- Une plainte officielle a été déposée le 28 juillet.
Si le vecteur d’attaque n’est pas encore connu, l’ensemble des signaux laisse penser à une intrusion sans déni de service, sans ransomware visible, mais visant à infiltrer discrètement un back-office.
🔍 Analyse technique : analogies et hypothèses
Les deux attaques présentent des similarités frappantes, malgré l’absence de revendication pour celle de juillet :
| Élément | Février 2025 (Roumanie) | Juillet 2025 (France) |
|---|---|---|
| Origine | Compromission via portail interne | Inconnue (mais probablement similaire) |
| Cible | SI interne (non critique) | SI interne (non critique) |
| Données exfiltrées | Oui (6 Go) | Non confirmé |
| Impact clients | Aucun | Perturbations chez clients B2B |
| Groupe impliqué | HellCat (alias Rey) | Pas de revendication connue |
| Tactique | Accès discret, extraction rapide | Accès discret, impact contenu |
Hypothèse technique privilégiée :
L’attaque de juillet 2025 aurait exploité un accès faible ou non monitoré à une application back-office, utilisant potentiellement des identifiants exposés (via stealer, infostealer logs ou phishing ciblé), ou une vulnérabilité non patchée (Jira, Confluence, Zabbix, etc.).
On note également l’absence d’éléments indiquant une malveillance interne ou une compromission de la supply chain, ce qui renforce l’idée d’un piratage opportuniste, mais ciblé, par des acteurs à visée économique ou d’espionnage.
🧠 Pourquoi ces systèmes internes sont-ils des cibles si attractives ?
Les back-offices, souvent laissés de côté dans les politiques de sécurité offensive, présentent :
- Des surfaces d’attaque plus larges (API peu sécurisées, authentification basique),
- Un monitoring moins intensif (pas toujours inclus dans le SOC),
- Des comptes privilégiés accessibles avec MFA désactivé ou partiellement implémenté,
- Des outils type Jira ou Confluence, parfois exposés à Internet ou interconnectés avec des SI sensibles.
En bref : une porte d’entrée discrète vers un réseau souvent mal segmenté.
🔐 Leçons à tirer (et vite)
Face à ces deux attaques, les enseignements sont limpides :
- Les applications internes doivent être traitées comme des cibles de premier ordre.
- La segmentation réseau est indispensable : éviter qu’un SI interne accède librement à des ressources critiques.
- Mettre en place un monitoring applicatif approfondi, même sur des services utilisés exclusivement en interne.
- Durcir l’authentification sur les back-offices (MFA, SSO, gestion fine des accès).
- Réaliser des pentests internes réguliers, y compris sur des environnements de développement ou outils de ticketing.
🧭 Conclusion
Orange n’a pas encore livré tous les détails de l’attaque de juillet 2025. Mais les parallèles avec l’affaire roumaine de février sont suffisamment nombreux pour tirer la sonnette d’alarme.
Loin d’un simple « incident », cette attaque semble révéler des failles structurelles dans la gestion des SI internes. Et si Orange, pourtant bien doté côté cybersécurité, est touché à deux reprises… combien d’autres grandes entreprises vivent la même chose sans même le savoir ?
La cybersécurité ne se limite pas au périmètre exposé : c’est aussi dans l’arrière-boutique que les vraies batailles se gagnent… ou se perdent.
