Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >
NOUVEAU

Vectra AI est nommée Leader dans le Magic Quadrant 2025 de Gartner pour la détection et réponse aux incidents (NDR). Télécharger le rapport. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Briefing sur les menaces

La faille de sécurité de F5 pourrait-elle révéler une nouvelle faille dans la sécurité de l'Edge ?

16 octobre 2025
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
La faille de sécurité de F5 pourrait-elle révéler une nouvelle faille dans la sécurité de l'Edge ?

Lorsqu'une entreprise qui conçoit la technologie permettant de sécuriser certains des réseaux les plus importants au monde est victime d'une violation, l'ensemble de la communauté de la sécurité doit en prendre note. Le 15 octobre 2025, F5 Networks a révélé, dans un document SEC 8-K, que son réseau avait été compromis par un acteur soupçonné d'être une menace émanant d'un État-nation.

Le rapport confirme que les attaquants ont maintenu un accès persistant aux environnements de production de F5 pendant près d'un an, dérobant le code source propriétaire de BIG-IP et les données de configuration des clients. Étant donné que les produits de F5 sont à la base d'une grande partie de l'infrastructure mondiale de mise en réseau et de fourniture d'applications, cette violation n'est pas seulement un problème de fournisseur - c'est un signal de la façon dont le paysage des menaces s'est déplacé vers le périmètre même qui connecte les systèmes cloud et sur site.

Quand le bord devient le point d'entrée

L'enquête de F5 a révélé que les intrus disposaient d'un accès secret et à long terme aux systèmes utilisés pour construire et gérer BIG-IP, F5OS et les produits connexes. Certaines données de mise en œuvre des clients ont également été exfiltrées, et l'incident a été jugé suffisamment important pour retarder la divulgation publique sous l'approbation du ministère américain de la justice en raison des implications potentielles pour la sécurité nationale.

Cette attaque ne concernait pas une seule vulnérabilité. Il s'agissait d'un accès persistant - unacteur de la menace s'insérant discrètement dans le tissu de confiance des systèmes les plus privilégiés d'une organisation. Elle montre que même les technologies de périmètre les plus solides peuvent devenir elles-mêmes des surfaces d'attaque.

L'anatomie de la compromission de F5

Selon le document 8-K et la déclaration publique de F5 :

  • L'attaquant a obtenu et conservé un accès à long terme à l'environnement de développement des produits BIG-IP de F5.
  • Ils ont exfiltré du code source, de la documentation interne et certaines données de configuration de clients.
  • Le compromis peut avoir commencé 12 mois avant la détection.
  • Depuis, F5 a fait appel à CrowdStrike, Mandiant, NCC Group et IOActive pour la recherche scientifique, le confinement et la validation de l'intégrité de sa chaîne d'approvisionnement en logiciels.

Bien que F5 ne signale aucune exploitation active des vulnérabilités non divulguées, le risque est réel. Le vol de code source combiné aux détails de l'infrastructure fournit aux attaquants un plan d'exploitation, en particulierlorsqu'il s'agit de cibler des dispositifs critiques utilisés dans les entreprises et les agences gouvernementales.

Pourquoi l'infrastructure périphérique est le nouveau champ de bataille

Dans l'ère hybride, les équipements de réseau de périphérie tels que F5 BIG-IP se trouvent à l'intersection de tout : identité, réseau et trafic applicatif. Ils terminent les sessions SSL, gèrent les flux d'authentification et connectent les environnements privés aux nuages publics.

Cette puissance en fait également des cibles de choix. Lorsqu'un attaquant compromet un dispositif périphérique ou l'infrastructure qui le construit, il peut accéder à des informations d'identification privilégiées, à du trafic crypté et à des voies de déplacement latéral invisibles pour les outils de endpoint

Les recherches d'IDC et de ses partenaires font état de problèmes persistants de visibilité en périphérie qui exposent les entreprises à des activités furtives après la compromission.

Voici ce que cela donne en pratique :

Couche Outils communs Points aveugles typiques Avantage pour l'attaquant
Endpoint EDR Aucune visibilité sur l'utilisation abusive du réseau ou de l'identité Persistance silencieuse via des jetons ou des certificats de service
Bord du réseau Pare-feu, équilibreurs de charge (F5, Palo Alto, etc.) Zone de confiance, analyse comportementale limitée Exfiltration furtive de données ou mouvement latéral
Cloud CSPM, CWPP OAuth mal utilisé, API non gérées Accès sans malware

L'infrastructure périphérique n'est plus seulement une couche de sécurité, mais une surface d'attaque en soi.

Une vue d'ensemble : Risque national et risque d'entreprise

L'incident de F5 souligne également une vérité plus large : les attaquants ciblent le tissu conjonctif de l'infrastructure numérique. La combinaison de l'exfiltration du code source et de la divulgation tardive met en évidence une dimensionpotentielle de sécurité nationale, puisqueles mêmes technologies sécurisent les réseaux fédéraux, les systèmes de défense et les principaux fournisseurs d'cloud .

Lorsque les adversaires ont une connaissance individu du fonctionnement des systèmes périphériques, ils peuvent créer des exploits de type "zero-day". exploits dezero-day ou compromettre les mises à jour de la chaîne d'approvisionnement, en contournant entièrement les contrôles traditionnels.

Pour les entreprises, cela signifie que la frontière de la sécurité est en train de se dissoudre. Les outils conçus pour sécuriser le trafic font désormais partie de la surface des menaces.

Le fossé de la sécurité : pourquoi les défenses traditionnelles ne fonctionnent pas

La brèche de F5 n'a pas été détectée par les antivirus, les EDR ou les outils de correction - et c'est bien là le problème.

  • Endpoint ne s'exécutent pas sur des appareils de réseau.
  • Les SIEM s'appuient sur des journaux qui peuvent ne pas capturer les mouvements latéraux ou qui peuvent être falsifiés.
  • Les outils de sécurité deCloud surveillent le plan de contrôle de l'cloud , et non la structure physique ou virtuelle de la périphérie.

Cela crée un manque de visibilité: les attaquants opèrent pendant des mois dans les zones "de confiance" - en utilisant des informations d'identification, des API ou des comptes de service valides - sans déclencher d'alertes basées sur des signatures.

Le résultat ? Une année d'accès non détecté, avec des attaquants exfiltrant des données et observant les opérations en toute discrétion.

Comment Vectra AI comble le fossé de la sécurité en périphérie

Chez Vectra AI, nous aidons les entreprises à voir ce que les outils traditionnels ne peuvent pas voir. Notre plateforme offre une détection sans agent, pilotée par l'IA, qui analyse en permanence les comportements dans les environnements de réseau, d'identité et de cloud , c'est-à-dire leszones mêmes que les attaquants exploitent une fois qu'ils sont à l'intérieur.

Pour les clients qui utilisent des technologies de périphérie comme F5, la véritable préoccupation n'est pas seulement de savoir comment les attaquants s'introduisent, mais ce qui se passe ensuite. Qu'un attaquant utilise un exploit volé ou insère une porte dérobée pour passer d'un système périphérique à un réseau client, Vectra AI détecte cette activité avant qu'elle n'atteigne la phase d'impact.

Dans notre blog, Zero-Day Attacks on Network Edge Devices : Why NDR Matters, nous avons souligné comment les adversaires exploitaient les vulnérabilités des pare-feu, des VPN et des routeurs de plusieurs fournisseurs, transformant des dispositifs de périmètre fiables en points d'appui furtifs à l'intérieur des réseaux d'entreprise.

C'est pourquoi détection et réponse aux incidents (NDR) est essentielle. Vectra AI surveille en permanence :

  • Comportements de persistance et d'exfiltration dans les environnements hybrides, même en l'absence de malware .
  • Le trafic en périphérie et dans les centres de données afin d'identifier les communications secrètes ou les escalades de privilèges qui indiquent une compromission.
  • L'utilisation abusive de l'identité (comme les comptes de service ou les jetons volés), en corrélation avec l'activité du réseau pour mettre en évidence de véritables comportements d'attaque, et non des alertes isolées.

La plateforme Vectra AI Platform permet aux équipes de sécurité de donner rapidement la priorité aux menaces réelles, comblant ainsi le manque de visibilité qui permet aux intrusions à long terme de prospérer.

Voir, détecter et réagir plus rapidement

Pour vérifier si votre propre environnement présente des signes d'un comportement similaire de la part des attaquants, consultez la recherche assistée par l'IA dans la plateforme Vectra AI - le moyen le plus rapide de transformer les questions en réponses.

Grâce à la recherche assistée par l'IA, vous pouvez poser des questions d'investigation et de chasse en langage clair et obtenir immédiatement des réponses riches en contexte, alimentées par des métadonnées améliorées par l'IA à partir de votre réseau, de votre identité et de votre cloud. Cette fonctionnalité ne se contente pas d'afficher des résultats, elle fournit des recommandations sur les étapes suivantes afin que vous puissiez suivre la piste comme un analyste chevronné.

Essayez de demander :

  • "Montrez-moi tous les systèmes qui communiquent avec des IP externes sur des ports non communs".
  • "Liste des comptes accédant aux consoles de l'infrastructure du réseau en dehors des heures de travail".

Qu'il s'agisse de rechercher la persistance, de valider l'exposition aux vulnérabilités ou de s'assurer que vos appareils périphériques n'ont pas été utilisés à mauvais escient, la recherche assistée par l'IA vous apporte la clarté à la vitesse d'une question - en vous aidant à comprendre l'histoire complète de chaque menace.

Explorez la recherche assistée par l'IA dans la plateforme Vectra AI et découvrez comment une investigation rapide et guidée peut vous aider à détecter ce que les outils traditionnels ne détectent pas. Regardez la démo autoguidée.

Foire aux questions