Le 28 juillet 2025 marque un tournant douloureux pour FranceLink, opérateur télécom et fournisseur de services numériques, victime d’une cyberattaque d’ampleur. En quelques heures, l’entreprise a vu ses services téléphoniques tomber, ses messageries paralysées, et une partie de ses données disparaître dans un brouillard d’incertitude technique.
Aujourd’hui, à la lumière des informations publiées sur le portail de statut officiel, il est possible de reconstituer le déroulement de cet incident, ses impacts concrets, et les leçons qu’en tireront entreprises et DSI.
⏳ Chronologie d’un effondrement numérique
- 28 juillet 2025 – L’attaque frappe. Les équipes techniques coupent volontairement l’ensemble des services afin de limiter la propagation. Les téléphones, la messagerie et l’hébergement sont hors ligne.
- 29 juillet 2025 – Le standard téléphonique de FranceLink est fermé pour concentrer les ressources sur la remise en route des systèmes critiques.
- 31 juillet 2025 (07h39) – Le DNS est rétabli, permettant à des services externes comme Office 365 ou des sites web hébergés hors de FranceLink de refonctionner.
- 31 juillet 2025 (22h22) – Déploiement des options de migration pour les boîtes mail afin que les clients puissent reprendre rapidement leurs communications.
- 1er août 2025 (18h38) – Identification publique du groupe Hakira comme auteur présumé de l’attaque. L’entreprise diffuse un formulaire pour recenser les données prioritaires à restaurer.
- 4 août 2025 (21h37) – Premier bilan : la récupération des données est extrêmement limitée. FranceLink privilégie la reconstruction rapide des environnements, quitte à perdre l’historique.
- 6 août 2025 (12h01) – Consultation d’un second expert en récupération après l’échec partiel du premier. Une faille zero-day sur des équipements SonicWall est évoquée comme point d’entrée possible.
- 11 août 2025 (10h11) – Publication d’un rapport d’incident plus complet et ouverture d’un formulaire complémentaire pour les clients.
- 13 août 2025 (11h44) – FranceLink annonce que la reconstruction est prioritaire sur toute autre action, avec l’objectif de relancer rapidement les environnements clients.
🎯 Acteurs et victimes collatérales
FranceLink est en première ligne :
- Perte de données hébergées (potentiellement irrécupérables)
- Interruption de ses services téléphoniques et de messagerie
- Coûts élevés liés à l’intervention d’experts externes et à la reconstruction
Les clients FranceLink sont aussi touchés de plein fouet :
- Coupure de communications téléphoniques en pleine période estivale
- Messageries inaccessibles, obligeant une migration en urgence
- Perte d’historiques et de données critiques, notamment pour les entreprises dépendantes de ces services pour leurs opérations quotidiennes
🔍 Origines et scénario probable
Le 6 août, FranceLink évoque la piste d’une faille zero-day sur SonicWall comme porte d’entrée. Ce type de vulnérabilité est particulièrement redoutable :
- Elle est inconnue du fabricant au moment de l’attaque.
- Aucun correctif n’est disponible.
- Les attaquants disposent d’un avantage stratégique maximal.
L’attribution au groupe Hakira place cette attaque dans le registre des ransomwares ciblés, où les cybercriminels cherchent à chiffrer les données et à exiger une rançon pour leur restitution — souvent assortie d’une menace de divulgation publique.
Voir nos articles sur SonicWall :
🔥 SonicWall SMA & OVERSTEP : Quand un rootkit sort du bois pour taper sur du périmètre en fin de vie
🔥 SonicWall, OVERSTEP et le grand cirque de la cybersécurité jetable
📉 Conséquences techniques et opérationnelles
Pour FranceLink
- Obligation de reconstruire une infrastructure saine en partant presque de zéro.
- Multiplication des chantiers simultanés : restauration DNS, migration de messageries, redéploiement des environnements clients.
- Pression financière liée aux coûts de récupération et au manque à gagner.
Pour les clients
- Nécessité de mettre en place des solutions alternatives dans l’urgence, souvent non prévues (migration de messagerie, redirection d’appels).
- Risque de perte d’image si la panne impacte leur relation client.
- Complexité de reconstituer un historique de données manquant.
📚 Leçons à retenir pour les entreprises
- Plan de continuité opérationnel – Disposer d’une procédure claire pour migrer rapidement les services critiques (DNS, messagerie, téléphonie).
- Sauvegardes hors site et déconnectées – Éviter que les sauvegardes ne soient chiffrées ou supprimées lors d’une attaque.
- Surveillance des équipements périphériques – Firewalls, appliances de sécurité et VPN doivent être patchés rapidement, avec une veille proactive sur les vulnérabilités zero-day.
- Communication de crise – Informer régulièrement les clients et partenaires, même en cas d’incertitude, pour maintenir un minimum de confiance.
đź“ť Conclusion
L’affaire FranceLink illustre parfaitement le risque en cascade qu’une cyberattaque peut déclencher sur un opérateur de services : l’impact dépasse largement l’entreprise attaquée pour toucher directement ses clients et, par ricochet, leurs propres utilisateurs.
Entre pannes prolongées, pertes de données et migrations forcées, l’incident met en lumière l’importance vitale des sauvegardes hors ligne, de la résilience des infrastructures et d’une gestion de crise rodée.
Dans un monde où un simple zero-day peut mettre à terre des dizaines d’entreprises en quelques heures, il ne s’agit plus de savoir si cela arrivera, mais quand — et comment on s’y préparera.
Voir la page : https://status.francelink.net
