Le 25 juillet 2025, Orange, gĂ©ant français des tĂ©lĂ©communications, annonçait avoir dĂ©tectĂ© une intrusion dans son systĂšme dâinformation interne. Si lâentreprise se veut rassurante â aucune exfiltration de donnĂ©es confirmĂ©e, services clients globalement maintenus â les spĂ©cialistes en cybersĂ©curitĂ© nây voient pas quâun simple incident isolĂ©. DĂ©jĂ en fĂ©vrier 2025, Orange avait Ă©tĂ© victime dâun piratage massif visant sa filiale en Roumanie. En confrontant les deux Ă©vĂ©nements, un schĂ©ma inquiĂ©tant se dessine : celui dâune attaque ciblĂ©e sur les systĂšmes back-office, exploitant probablement des failles logicielles et des identifiants compromis.
đ Rappel des faits â FĂ©vrier 2025 : lâaffaire âReyâ
En fĂ©vrier, un acteur se faisant appeler Rey, affiliĂ© au groupe de cybercriminels HellCat, revendiquait lâintrusion dans un portail interne utilisĂ© par Orange Roumanie.
Le mode opératoire était limpide :
- AccÚs via un portail exposé (type Jira),
- Utilisation dâidentifiants compromis ou faibles,
- Maintien persistant dans lâenvironnement pendant plus dâun mois,
- Exfiltration massive en moins de trois heures : plus de 12 000 fichiers (~6 Go), incluant des documents internes, eâmails, code source, factures, et informations sur les employĂ©s.
Lâentreprise avait refusĂ© dâentrer en nĂ©gociation. En rĂ©ponse, les donnĂ©es furent publiĂ©es sur des forums underground, avec des fragments relayĂ©s sur BreachForums. Aucun service client nâavait Ă©tĂ© directement affectĂ©, mais lâimpact rĂ©putationnel Ă©tait rĂ©el.
đš Juillet 2025 : une attaque qui rappelle dangereusement la prĂ©cĂ©dente
Cinq mois plus tard, nouvelle alerte rouge : Orange dĂ©tecte une compromission sur lâun de ses systĂšmes internes. Selon les premiers Ă©lĂ©ments communiquĂ©s :
- Lâattaque a Ă©tĂ© identifiĂ©e vendredi 25 juillet,
- Orange Cyberdefense a isolé les systÚmes touchés,
- Des perturbations ont été constatées chez certains clients professionnels,
- Lâentreprise affirme ne pas avoir constatĂ© dâexfiltration de donnĂ©es,
- Une plainte officielle a été déposée le 28 juillet.
Si le vecteur dâattaque nâest pas encore connu, lâensemble des signaux laisse penser Ă une intrusion sans dĂ©ni de service, sans ransomware visible, mais visant Ă infiltrer discrĂštement un back-office.
đ Analyse technique : analogies et hypothĂšses
Les deux attaques prĂ©sentent des similaritĂ©s frappantes, malgrĂ© lâabsence de revendication pour celle de juillet :
| ĂlĂ©ment | FĂ©vrier 2025 (Roumanie) | Juillet 2025 (France) |
|---|---|---|
| Origine | Compromission via portail interne | Inconnue (mais probablement similaire) |
| Cible | SI interne (non critique) | SI interne (non critique) |
| Données exfiltrées | Oui (6 Go) | Non confirmé |
| Impact clients | Aucun | Perturbations chez clients B2B |
| Groupe impliqué | HellCat (alias Rey) | Pas de revendication connue |
| Tactique | AccĂšs discret, extraction rapide | AccĂšs discret, impact contenu |
HypothÚse technique privilégiée :
Lâattaque de juillet 2025 aurait exploitĂ© un accĂšs faible ou non monitorĂ© Ă une application back-office, utilisant potentiellement des identifiants exposĂ©s (via stealer, infostealer logs ou phishing ciblĂ©), ou une vulnĂ©rabilitĂ© non patchĂ©e (Jira, Confluence, Zabbix, etc.).
On note Ă©galement lâabsence dâĂ©lĂ©ments indiquant une malveillance interne ou une compromission de la supply chain, ce qui renforce lâidĂ©e dâun piratage opportuniste, mais ciblĂ©, par des acteurs Ă visĂ©e Ă©conomique ou dâespionnage.
đ§ Pourquoi ces systĂšmes internes sont-ils des cibles si attractives ?
Les back-offices, souvent laissés de cÎté dans les politiques de sécurité offensive, présentent :
- Des surfaces dâattaque plus larges (API peu sĂ©curisĂ©es, authentification basique),
- Un monitoring moins intensif (pas toujours inclus dans le SOC),
- Des comptes privilégiés accessibles avec MFA désactivé ou partiellement implémenté,
- Des outils type Jira ou Confluence, parfois exposés à Internet ou interconnectés avec des SI sensibles.
En bref : une porte dâentrĂ©e discrĂšte vers un rĂ©seau souvent mal segmentĂ©.
đ Leçons Ă tirer (et vite)
Face Ă ces deux attaques, les enseignements sont limpides :
- Les applications internes doivent ĂȘtre traitĂ©es comme des cibles de premier ordre.
- La segmentation rĂ©seau est indispensable : Ă©viter quâun SI interne accĂšde librement Ă des ressources critiques.
- Mettre en place un monitoring applicatif approfondi, mĂȘme sur des services utilisĂ©s exclusivement en interne.
- Durcir lâauthentification sur les back-offices (MFA, SSO, gestion fine des accĂšs).
- Réaliser des pentests internes réguliers, y compris sur des environnements de développement ou outils de ticketing.
đ§ Conclusion
Orange nâa pas encore livrĂ© tous les dĂ©tails de lâattaque de juillet 2025. Mais les parallĂšles avec lâaffaire roumaine de fĂ©vrier sont suffisamment nombreux pour tirer la sonnette dâalarme.
Loin dâun simple « incident », cette attaque semble rĂ©vĂ©ler des failles structurelles dans la gestion des SI internes. Et si Orange, pourtant bien dotĂ© cĂŽtĂ© cybersĂ©curitĂ©, est touchĂ© Ă deux reprises⊠combien dâautres grandes entreprises vivent la mĂȘme chose sans mĂȘme le savoirâŻ?
La cybersĂ©curitĂ© ne se limite pas au pĂ©rimĂštre exposĂ© : câest aussi dans lâarriĂšre-boutique que les vraies batailles se gagnent⊠ou se perdent.
