« VPN troué, data envolée et prestataires à l’ouest : la cybersécurité version été français »
Pendant que la France s’éponge le front sous 39°C, ses infrastructures numériques, elles, fondent en silence. Récapitulatif des cyber-désastres estivaux, avec un mojito de mauvaise gestion, une paille en forme de CVE, et un zeste de prestataire à la ramasse.
🔥 1. SonicWall : le VPN qui ouvre les portes du ransomware (Akira inside)
S’il y a une chose qu’on aime dans le monde de la cybersécurité, c’est quand un firewall censé sécuriser le périmètre devient lui-même la passoire centrale. Cette semaine, SonicWall brille à nouveau dans le rôle du “plot twist” de l’été.
🕳️ La faille
Plusieurs entreprises à travers le monde ont vu leur réseau se faire chiffrer à la sauce Akira, via des accès SSL VPN SonicWall Gen 7. Des dispositifs pourtant patchés, avec MFA activé, ont été compromis. Ce qui nous donne trois options :
- Les attaquants sont devenus magiciens 🧙,
- Le MFA SonicWall est une illusion de sécurité 🪞,
- Ou, plus probable : une faille non documentée ou mal patchée, type CVE‑2024‑40766, traîne dans le code depuis un moment.
Des analyses montrent l’utilisation de drivers Windows personnalisés (rwdrv.sys et hlpdrv.sys) pour échapper aux EDR. Les mecs ne viennent pas chiffrer tes serveurs avec Notepad.
🔧 Les “conseils” de SonicWall
SonicWall, dans un bel élan de transparence tardive, recommande… de désactiver SSL VPN. Pratique. Et si t’as pas le choix ? Bah, prions ensemble.
✅ Ce qu’il faut vraiment faire
- Bloque le VPN aux IPs connues, en attendant mieux.
- Upgrade vers SonicOS 7.3.0, puis réinitialise tous les comptes locaux.
- Ajoute des protections réseau : GeoIP filtering, Botnet filter, surveillance active, etc.
- Si tu veux dormir tranquille, remplace ce machin. Même un Raspberry Pi ferait mieux.
✈️ 2. Air France–KLM : Data breach à 10 000 mètres d’altitude
Air France et KLM, compagnies stars du ciel européen, ont découvert qu’on peut aussi perdre les bagages numériques.
🧼 L’incident, version officielle
Un prestataire externe a subi un “incident de sécurité”. Traduction : les données de clients Flying Blue ont été siphonnées. Les infos volées : noms, emails, numéros de fidélité, statut, sujet de contact…
« Rien de grave, pas de mots de passe ou cartes bancaires », dit le communiqué. Ah bah ça va alors. Si on ne vole pas ton argent directement, c’est légal ?
💀 L’ironie du cloud
Encore une fois, c’est un prestataire externe qui fait plouf. Le modèle SaaS c’est pratique, sauf quand tu ne sais pas où ton backend traîne, ni qui y a accès.
🧠 Leçon à retenir
- Connaître la surface de risque de ses sous-traitants. Faire un audit, un vrai.
- Intégrer des clauses de sécurité sérieuses dans les contrats SaaS (et pas juste « on crypte vos données, promis »).
- Imposer un programme de bug bounty et des tests de pentest tiers.
- Et surtout : surveiller les flux sortants vers les tiers, c’est pas si compliqué.
📱 3. Bouygues Telecom : 6,4 millions de clients, et presque autant de données dans la nature
Bouygues Telecom nous offre un chef-d’œuvre de transparence dans la douleur : 6,4 millions de comptes clients ont été exposés dans une attaque massive.
🎯 Ce qui a fuité
Noms, adresses mail, numéros de téléphone, identifiants de compte client… L’ensemble du menu. Des millions de Français vont se faire spammer façon Black Friday permanent.
La CNIL a été notifiée. Une plainte a été déposée. Les clients vont recevoir un SMS (ou un pigeon voyageur) pour les alerter. Mais c’est trop tard, les bases sont déjà sur Telegram, probablement.
🧽 À qui la faute ?
Aucune info technique n’est donnée. Mais il est peu probable que des attaquants soient rentrés par la fenêtre. Plutôt une faille de gouvernance, des accès trop larges, ou une mauvaise segmentation réseau.
📎 Nos recommandations (même si c’est trop tard pour Bouygues) :
- Zero Trust, vraiment appliqué : stop au SSO sans MFA ni scope.
- Chiffrement des données au repos ET en transit, même en interne.
- DLP, IAM, SIEM, détection comportementale, tout ce qui fait peur aux DAF.
- Et une vraie gestion des logs, pas juste Syslog en mode
/dev/null.
🧠 Morale de l’histoire : la cybersécurité d’août, c’est la vraie kermesse
Trois cas, trois contextes différents, une constante : des organisations “matures”, avec budget, avec outils, qui tombent quand même. Parce que :
- Le Shadow IT, ça commence aussi dans les VPN « officiels ».
- Le SaaS non maîtrisé, c’est aussi dangereux que les clés USB à l’époque.
- Et les prestataires tiers, souvent ce sont les moins bien protégés de ta chaîne.
🎯 La Checklist de survie – Août 2025
- 🔐 Audit des accès VPN, politiques de rotation de comptes, MFA sérieux (pas juste une app SMS foireuse).
- 🧾 Révision des contrats fournisseurs avec clauses RGPD, journalisation, droit d’audit, etc.
- 📡 Supervision de tous les flux tiers, y compris SaaS et partenaires.
- 🧬 Tableau de bord cyber d’été : monitoring renforcé des activités anormales, même si la moitié de l’équipe est en congés.
- 🎓 Sensibilisation, encore et toujours : si un prestataire reçoit 12k fichiers clients sans alerte ni chiffrement, c’est qu’on a raté un truc.
🚨 Bonus sarcasme
“La cybersécurité, c’est trop cher” – dit l’entreprise qui vient de perdre 6 millions de données clients, 14 jours de production et qui devra payer 800k€ d’amende CNIL.
