Résumé exécutif : L’entreprise américaine F5 a révélé le 15 octobre 2025 qu’un acteur malveillant sophistiqué, soutenu par un État, a compromis ses réseaux internes sur une longue durée. Les attaquants ont maintenu un accès persistant pendant plus d’un an, ciblant notamment l’environnement de développement de BIG-IP. Ils ont exfiltré une partie du code source de BIG-IP ainsi que des informations sur des vulnérabilités non publiées. Aucune compromission de la chaîne de production ni exploitation active de failles n’a été constatée à ce stade, mais les autorités (CISA, NCSC) ont émis des directives d’urgence pour appliquer les correctifs publiés et renforcer la sécurité des dispositifs F5.
Introduction
F5, éditeur américain de solutions de gestion du trafic réseau (BIG-IP), a annoncé le 15 octobre 2025 avoir subi une compromission majeure de ses systèmes internes. Cette attaque, qualifiée de sophistiquée, a été attribuée à un groupe étatique non spécifié. La gravité de l’incident – impliquant le vol de code source sensible et de failles de sécurité non corrigées – a conduit les autorités à évaluer le risque comme critique, déclenchant par exemple une directive d’urgence de la CISA dès l’annonce publique.
Exposé des faits
D’après le rapport d’incident, F5 a détecté le 9 août 2025 une intrusion dans son réseau corporate. L’enquête a révélé qu’un acteur menaçant, très avancé (qualifié de nation-state actor), avait maintenu un accès non autorisé à certains systèmes critiques pendant une période prolongée. Deux personnes informées de l’investigation ont indiqué que les hackers étaient présents depuis plus d’un an au sein du réseau de F5. Officiellement, F5 n’a pas divulgué l’identité ou l’origine de l’attaquant, mais des sources médiatiques (Bloomberg/Reuters) pointent vers un groupe soutenu par la Chine.
Les systèmes visés comprenaient l’environnement de développement des produits BIG-IP ainsi qu’une plateforme interne de gestion des connaissances d’ingénierie. Ces accès ont permis aux intrus d’exfiltrer trois catégories de données sensibles : (1) des portions du code source de BIG-IP, (2) des informations détaillées sur des vulnérabilités de sécurité découvertes en interne et non encore divulguées publiquement, et (3) des configurations spécifiques appartenant à un petit nombre de clients de F5. En pratique, les fichiers volés contiennent à la fois du code propriétaire de la gamme BIG-IP et des rapports techniques sur des failles en cours de correction, ce qui offre à l’adversaire une avance potentielle pour développer des exploits « zero-day ». L’accès à certaines données de configuration client pourrait en outre permettre des attaques ciblées ultérieures (par exemple en tirant parti de mots de passe ou paramètres réseau spécifiques).
F5 a affirmé qu’il n’existe aucune preuve de modification des composants de sa chaîne de production logicielle. Les audits indépendants menés par deux sociétés spécialisées (NCC Group et IOActive) ont confirmé que le code source, les pipelines de build et les artefacts de livraison n’avaient pas été altérés par l’attaquant. De plus, l’investigation conjointe (impliquant également Mandiant et CrowdStrike) n’a trouvé aucun indice d’accès aux autres systèmes sensibles de F5 (bases client CRM, données financières, gestion du support, plateforme iHealth). L’intrusion est restée circonscrite aux environnements mentionnés, sans impact identifié sur les produits NGINX ou sur les services cloud F5 Distributed Cloud/Silverline. En d’autres termes, le vol porte sur des informations confidentielles (code et failles) mais pas sur des données clients ou des composants logiciels diffusés.
Face à la situation, F5 a retardé la divulgation publique de deux mois (avec l’accord du Department of Justice américain) afin de coordonner la réponse et de préparer des mesures de mitigation. L’annonce officielle du 15 octobre 2025 a été accompagnée de la publication simultanée du bulletin de sécurité trimestriel d’octobre, délivrant 44 correctifs pour l’ensemble des produits phares (BIG-IP toutes versions et modules, F5OS, BIG-IQ, clients APM, etc.). F5 a souligné que ces mises à jour faisaient partie du cycle normal, tout en exhortant fortement ses clients à appliquer sans délai ces patches compte tenu du contexte. Dans la foulée, l’agence américaine CISA a émis la directive d’urgence ED 26-01, ordonnant aux agences fédérales de recenser et patcher tous les équipements F5 BIG-IP sous leur contrôle avant le 22 octobre 2025, et de renforcer la surveillance des accès. Le Royaume-Uni, via le NCSC, a émis un avertissement similaire à destination des opérateurs nationaux, préconisant de vérifier l’intégrité des firmwares et certificats sur les appareils F5. Par ailleurs, F5 a diffusé des guides de threat hunting et de durcissement de la configuration (hardening) pour aider les équipes de sécurité à détecter d’éventuelles traces d’intrusion et à renforcer la protection des instances BIG-IP (par exemple en activant la journalisation détaillée des connexions administratives et en appliquant les bonnes pratiques de segmentation). F5 a également annoncé un partenariat avec CrowdStrike pour fournir aux clients BIG-IP un agent EDR Falcon gratuit, afin d’améliorer la visibilité et la détection de comportements suspects sur ces équipements critiques.
Notons enfin que des communications envoyées par F5 à certains clients ont fait le lien entre cette attaque et un malware d’espionnage baptisé BRICKSTORM, identifié par Mandiant. Ce malware est associé à des campagnes d’origine chinoise visant des fournisseurs de technologies, avec pour objectif le vol de code source et d’informations d’identification dans une optique de compromission en supply chain. Cela corrobore l’hypothèse selon laquelle le groupe derrière la compromission de F5 chercherait à tirer parti des connaissances volées (code et failles) pour potentiellement cibler d’autres réseaux utilisant ces mêmes technologies.
Informations techniques
- Vulnérabilités divulguées (principales) : CVE-2025-53868 (failles dans les fonctions SCP/SFTP de BIG-IP, CVSS 8.7), CVE-2025-61955 (vulnérabilité sur F5OS en mode appliance, CVSS jusqu’à 8.8) et CVE-2025-57780 (vulnérabilité F5OS, CVSS jusqu’à 8.8). Ces failles peuvent permettre une compromission significative des systèmes F5 visés. Au total, 44 nouvelles vulnérabilités de gravité variable ont été annoncées et corrigées par F5 dans la mise à jour de sécurité d’octobre 2025.
- Produits affectés : Gamme F5 BIG-IP (systèmes physiques et virtuels, modules LTM/APM/ASM/AFM/PEM, etc.), F5OS (systèmes F5OS-A et F5OS-C pour châssis VIPRION et appliances), BIG-IQ et clients F5 APM. Les vulnérabilités concernent les versions actuellement supportées de ces produits (aucune indication d’impact sur NGINX ou d’autres offres SaaS de F5).
- Mode d’exploitation : À ce jour, F5 indique ne pas avoir connaissance d’exploitation active in the wild des vulnérabilités dérobées. L’acteur ayant volé les rapports internes pourrait toutefois développer des exploits fonctionnels plus rapidement qu’un attaquant lambda, en ciblant notamment l’exécution de code à distance (RCE) ou l’élévation de privilèges sur les équipements F5 non corrigés. Les autorités soulignent que ces failles, si exploitées, pourraient permettre à l’attaquant de dérober des informations d’authentification, d’effectuer des mouvements latéraux dans les réseaux, voire de prendre le contrôle total de systèmes critiques exposés.
- Correctifs et mitigations : Des patchs de sécurité sont disponibles via la notification F5 K000156572 (Octobre 2025) pour l’ensemble des failles identifiées. F5 recommande d’appliquer immédiatement ces mises à jour sur tous les dispositifs concernés. En complément, il est préconisé de durcir la configuration des BIG-IP (désactivation des interfaces d’administration non sécurisées, segmentation réseau stricte, rotation des certificats/mots de passe, etc.) et de suivre les guides de surveillance mis à disposition (examen des journaux d’authentification, activation du streaming d’événements vers un SIEM, etc.). Les organisations sont invitées à retirer ou isoler tout appareil F5 obsolète (fin de support) de leur infrastructure, ceux-ci ne pouvant bénéficier de correctifs.
En conclusion, cet article présente un état des lieux factuel de l’incident de sécurité ayant affecté F5, tel que rapporté par les sources officielles et publiques. Il ne contient ni analyse prospective, ni opinion de l’auteur, et se borne aux informations divulguées par F5 et relayées par les experts et autorités compétentes.
Sources
- https://unit42.paloaltonetworks.com/nation-state-threat-actor-steals-f5-source-code/
- https://my.f5.com/manage/s/article/K000154696
- https://www.wired.com/story/f5-hack-networking-software-big-ip/
- https://www.reuters.com/technology/breach-us-based-cybersecurity-provider-f5-blamed-china-bloomberg-news-reports-2025-10-16/
- https://www.rapid7.com/blog/post/ve-inside-the-f5-breach-what-we-know-and-recommended-actions/
