Netcrook Logo
👤 AUDITWOLF
🗓️ 18 Dec 2025   🌍 Asia

Portes dérobées dans les pare-feux : comment des erreurs de configuration ont offert aux hackers chinois une clé secrète

Sous-titre : Cisco révèle que des acteurs malveillants liés à la Chine exploitent des équipements de sécurité mal configurés pour infiltrer discrètement des organisations dans le monde entier.

Tout a commencé discrètement, par une simple entrée de journal inhabituelle. Lorsque les équipes de sécurité de Cisco ont rassemblé les indices, une campagne sophistiquée de cyber-espionnage se déroulait déjà dans l’ombre depuis plusieurs semaines. Le coupable : non pas une faille zero-day, mais une simple erreur de configuration sur les mêmes dispositifs censés protéger les organisations. Aujourd’hui, le plus grand fournisseur mondial de réseaux avertit ses clients que la frontière entre protecteur et proie n’a jamais été aussi mince.

Selon Cisco, des hackers associés à la Chine infiltrent systématiquement des organisations en exploitant une vulnérabilité subtile mais critique : un paramètre mal configuré dans le logiciel AsyncOS de la société, qui équipe les appliances de sécurité email et web les plus populaires de Cisco. Le paramètre en question est la fonctionnalité de quarantaine des spams qui, lorsqu’elle est rendue accessible à Internet, ouvre involontairement une porte aux utilisateurs non autorisés. Bien que cette option ne soit pas activée par défaut, ce changement - souvent effectué pour des raisons pratiques - peut avoir des conséquences désastreuses s’il reste exposé.

Une fois à l’intérieur, les attaquants exécutent des commandes arbitraires sur l’appareil compromis avec des privilèges root, prenant ainsi le contrôle total. Leur arme principale est une porte dérobée personnalisée basée sur Python, connue sous le nom d’AquaShell. Ce module espion écoute discrètement les instructions des attaquants, leur permettant de se déplacer latéralement, d’exfiltrer des données ou de lancer d’autres attaques sur le réseau compromis. Pour maintenir leur accès illicite, les hackers utilisent également des outils de tunneling avancés qui masquent leur présence, ainsi qu’un utilitaire spécialisé d’effacement des journaux, AquaPurge, qui efface les traces numériques et complique les investigations forensiques.

L’enquête de Cisco a permis de remonter jusqu’au groupe UAT-9686, dont les outils et tactiques rappellent ceux d’autres groupes chinois connus de cyber-espionnage. L’utilisation d’implants web sur mesure comme AquaShell devient une marque de fabrique de ces menaces persistantes avancées (APT), illustrant une tendance vers des méthodes d’intrusion toujours plus furtives et résilientes.

La campagne, en cours depuis au moins la fin novembre, n’a été découverte qu’en décembre, soulignant l’importance et la vulnérabilité des choix de configuration courants. Les experts en sécurité avertissent qu’à mesure que les attaquants ciblent de plus en plus les erreurs de configuration plutôt que les failles logicielles, les organisations doivent redoubler d’efforts dans l’audit de leurs systèmes et suivre scrupuleusement les recommandations de sécurité des fournisseurs. Dans la course à l’armement de la cybersécurité, même la meilleure technologie échoue si elle n’est pas correctement déployée.

Alors que la poussière retombe, l’alerte de Cisco fait office de rappel sévère : en cybersécurité, la moindre négligence peut devenir une invitation ouverte pour les adversaires les plus déterminés au monde. Dans un paysage où les attaquants évoluent plus vite que les défenses, la vigilance et l’attention aux détails restent la dernière - et la meilleure - ligne de défense.

WIKICROOK

  • Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
  • AsyncOS : AsyncOS est le système d’exploitation propriétaire de Cisco pour ses appliances de sécurité email et web, offrant une protection de passerelle performante, fiable et sécurisée.
  • Privilèges root : Les privilèges root sont les droits d’accès les plus élevés sur un système, permettant un contrôle total sur toutes les fonctions, paramètres et données. Réservés aux utilisateurs de confiance.
  • APT (Menace Persistante Avancée) : Une menace persistante avancée (APT) est une cyberattaque ciblée et de longue durée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
  • Outils de tunneling : Les outils de tunneling permettent aux attaquants de dissimuler des données malveillantes dans le trafic réseau normal, créant des canaux secrets pour échapper à la détection et maintenir un accès non autorisé.
Chinese Hackers Cybersecurity Misconfiguration
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news