Ah, Ivanti CSA⊠Ce doux nom qui ne disait rien Ă personne jusquâĂ ce quâun groupe de hackers chinois vienne y coller trois zĂ©ros-day en pleine face de l’Ătat français. Câest beau, la mondialisation de la vulnĂ©rabilitĂ©.
𧚠Lâattaque : une tournĂ©e gĂ©nĂ©rale de 0-day
Mardi dernier, lâANSSI a discrĂštement lĂąchĂ© lâinformation : des secteurs entiers de la France â gouvernement, tĂ©lĂ©coms, transport, finance et mĂ©dias â ont Ă©tĂ© visĂ©s par une campagne dâintrusion sophistiquĂ©e. Le coupable ? Un groupe de hackers chinois parrainĂ©s par lâĂtat, apparemment trĂšs Ă lâaise avec les failles inĂ©dites (et bien juteuses) des Ă©quipements Ivanti Cloud Services Appliance (CSA).
Oui, CSA. Ce boßtier qui sert de proxy entre les VPN et les serveurs internes, et dont la sécurité semble tenir sur un post-it collé au pare-feu.
Au menu de cette attaque ? Plusieurs vulnĂ©rabilitĂ©s 0-day, donc inconnues au moment de lâexploitation, permettant :
- lâexĂ©cution de code arbitraire,
- lâaccĂšs direct aux infrastructures internes,
- et, trÚs probablement, une remontée élégante de données sensibles vers les montagnes du Sichuan.
đ» Des traces ? Non, des autoroutes
Les attaquants nâont pas seulement essayĂ©. Ils ont rĂ©ussi. Et pas dans un labo, hein. Sur le terrain, dans les rĂ©seaux de plusieurs opĂ©rateurs français et dans les SI de certains ministĂšres. La compromission nâest pas thĂ©orique, câest documentĂ© et en cours dâanalyse forensique.
LâANSSI parle dâune campagne âdiscrĂšte et mĂ©thodiqueâ, autrement dit : ils sont passĂ©s, ils ont vu, ils ont tout aspirĂ©. Et comme dâhabitude dans ces cas-lĂ , on dĂ©couvre lâĂ©tendue des dĂ©gĂąts deux mois aprĂšs, quand les logs commencent Ă fumer et que les analystes SOC tombent comme des mouches.
đ ïž Ivanti, fournisseur officiel de Surface dâAttaque
Ivanti CSA, ce nâest pas exactement un obscur logiciel ukrainien bricolĂ© dans un garage. Câest un composant clĂ© dans lâinfrastructure de sĂ©curitĂ© de nombreux grands comptes. On parle ici de reverse proxy sĂ©curisĂ©, de passerelles SSL/VPN, de gestion des accĂšs cloud. Bref, le genre dâĂ©quipement quâon installe en se disant « au moins, lĂ , on est safe ».
Spoiler : non.
Et quand une entreprise vend ce type de produit sans faire dâaudit sĂ©rieux de ses propres services cloud, elle devient⊠eh bien, le cheval de Troie dans le bastion numĂ©rique national.
đą Pendant ce temps, chez IvantiâŠ
Silence radio ou presque. Un patch est sorti, Ă©videmment, mais sans grand bruit. On sent bien que le service com nâa pas envie dâafficher âNous sommes Ă lâorigine dâune brĂšche Ă©tatiqueâ sur la page dâaccueil.
Et cĂŽtĂ© clients ? Câest le grand frisson.
Tu administres un Ivanti CSA en France ? Tu cours, tu patches, tu pries.
Tu bosses dans le public ? Trop tard.
đ„ La question qui pique : pourquoi câest toujours la France ?
Est-ce parce que la France reste une cible de choix en Europe ? Parce que nos SI sont trop permĂ©ables ? Parce que nos VPN font office de passoires connectĂ©es ? Parce quâon applique les correctifs âĂ la fin du trimestre si ça casse pas SAPâ ?
Un peu tout ça.
Mais surtout parce que :
- les acteurs chinois adorent les donnĂ©es sensibles (plans dâinfrastructure, communications internes, donnĂ©es RH, etc.),
- nos dĂ©pendances Ă des techno semi-maĂźtrisĂ©es (Ivanti, Citrix, Fortinet…) offrent un terrain dâattaque idĂ©al,
- et parce que la menace interne nâest toujours pas prise au sĂ©rieux par nombre de dĂ©cideurs.
đ§ Ce quâon en retient (ou pas)
- Ivanti CSA est désormais sur la liste noire des équipements à surveiller de trÚs trÚs prÚs.
- Les attaques Ă©tatiques ne ciblent plus seulement les ministĂšres : les prestataires, les opĂ©rateurs et les tiers techniques sont les nouveaux points dâentrĂ©e.
- Le patching nâest pas une option. MĂȘme en juillet.
- Le cloud, câest pratique. Mais mal sĂ©curisĂ©, câest un open-bar pour la Chine.
đŻ Conclusion : zĂ©ro-day, zĂ©ro surprise
Lâaffaire Ivanti nâest quâun Ă©pisode de plus dans la sĂ©rie âLa cybersĂ©curitĂ© française face Ă la diplomatie offensive chinoiseâ. Mais câest un Ă©pisode marquant, car il montre que mĂȘme les Ă©quipements censĂ©s protĂ©ger les autres deviennent des vecteurs dâattaque, et que la souverainetĂ© numĂ©rique ne sâachĂšte pas avec une licence cloud.
Ă mĂ©diter. Ou Ă ignorer, comme dâhabitude, jusquâĂ la prochaine alerte de lâANSSI.
â Checklist dâUrgence : Ivanti CSA sous surveillance renforcĂ©e
𧯠à coller sur le frigo du SOC ou sur le front du DSI, selon lâurgence.
đ 1. Inventaire immĂ©diat
-  Ai-je un ou plusieurs Ivanti CSA dans mon infrastructure ?
-  Sont-ils exposés directement sur Internet ?
- Â Font-ils partie de la chaĂźne dâaccĂšs VPN, de bastions ou de reverse proxy ?
đ§Ș 2. Ăvaluation de compromission
-  Journalisation activĂ©e et accessible (si non : đŹ)
-  Analyse des logs des 30 derniers jours (ou plus si stockage le permet)
-  Recherche dâindicateurs de compromission (IoC) publiĂ©s par lâANSSI ou Ivanti
- Â Surveillance accrue du trafic sortant vers des destinations suspectes
đ ïž 3. Patch & durcissement
-  Application immĂ©diate des correctifs Ivanti (CSA) sâils existent
- Â VĂ©rification des fichiers systĂšmes (hashs, anomalies, ajouts suspects)
-  Mise à jour des signatures IDS/IPS, EDR et AV sur les zones exposées
-  Si doute : isolation complĂšte de lâĂ©quipement et restauration depuis snapshot
đ 4. RĂ©duction de surface dâattaque
-  Restriction des accÚs CSA à des IPs spécifiques
-  Ajout dâune authentification forte (MFA) si ce nâest pas dĂ©jĂ le cas
-  Analyse de la nécessité réelle de maintenir cet équipement en frontal
đ§ 5. Communication & documentation
-  Alerte envoyée au DSI / COMEX avec cartographie des risques associés
- Â Information des Ă©quipes CERT/SOC internes ou externes
-  Documentation du plan de réponse à incident spécifique Ivanti
-  Plan de migration ou de remplacement Ă©tudiĂ© (parce quâune seule fois, câest dĂ©jĂ trop)
đĄ Bonus karma : si vous envoyez ce tableau en piĂšce jointe dâun mail Ă â[email protected]â, veillez Ă ne pas oublier de dĂ©sactiver les macros.
