Eurofiber victime d’une fuite de données dans son système de tickets
Date 18-11-2025 18:28:00 | Sujet : Cyber-Sécurité
| L’événement qui a frappé Eurofiber France, touchant plus de 3 600 organisations clientes, est un cas d’étude brutal sur les conséquences de la négligence opérationnelle dans la chaîne d’approvisionnement numérique. Un simple outil de gestion de services informatiques (ITSM) s’est avéré être un point d’entrée critique, transformant une vulnérabilité connue en une brèche de sécurité aux répercussions nationales. L’exposition documentée de credentials sensibles, incluant des mots de passe, des tokens API et des informations d’accès d’entités gouvernementales (.gouv.fr) comme la SNCF, AXA, et des ministères régaliens, a été mise en lumière par la publication d’échantillons de données par le groupe ByteToBreach.
Incident de cybersécurité chez Eurofiber France
Eurofiber France a officiellement confirmé la détection de cet incident de cybersécurité le 13 novembre 2025. La compromission a spécifiquement ciblé la plateforme de gestion de tickets IT ainsi que le portail client ATE, identifié comme la division cloud de l’entreprise opérant sous la marque Eurofiber Cloud Infra France. L’exploitation d’une vulnérabilité logicielle sur ces systèmes a permis l’exfiltration de données, affectant les clients d’Eurofiber France et de ses marques régionales (Eurafibre, FullSave, Netiwan, Avelia). Il est important de noter que l’entreprise a précisé que cet incident est limité à la seule entité française et n’a pas impacté les plateformes et clients des autres divisions situées en Belgique, en Allemagne ou aux Pays-Bas.
Eurofiber France annonce qu’un incident de cybersécurité a été détecté le 13 novembre 2025. Il concerne la plateforme de gestion des tickets utilisée par Eurofiber France et ses marques régionales (Eurafibre, FullSave, Netiwan, Avelia), ainsi que le portail client ATE, qui correspond à la division cloud d’Eurofiber France opérant sous la marque Eurofiber Cloud Infra France. Une vulnérabilité logicielle de cette plateforme a été exploitée par un acteur malveillant, entraînant l’exfiltration de données liées à ces plateformes.
Eurofiber France
Exfiltration de données : la cinétique de l’exploitation CVE-2025-24799
L’origine de cette compromission réside dans l’exploitation d’une faille d’injection SQL (CVE-2025-24799) au sein du logiciel GLPI, une solution open-source de gestion de tickets très répandue. Ce qui est sidérant, c’est que le correctif pour cette vulnérabilité existait depuis février 2025. Cette période de neuf mois sans application du patch constitue une fenêtre de vulnérabilité prolongée, exploitée par ByteToBreach selon SaxX sur son compte X. Les acteurs malveillants ont procédé à une exfiltration progressive des données sur une période de dix jours, employant la technique subtile de l’injection SQL en aveugle basée sur le temps (blind time-based SQL injection).
Cette méthode permet de soutirer des informations caractère par caractère en mesurant le temps de réponse de la base de données, rendant la détection extrêmement difficile tant que l’accès n’est pas ciblé et surveillé. L’isolement des systèmes affectés, notamment le portail ATE et la gestion des tickets, fut une réponse immédiate d’Eurofiber, mais celle-ci est intervenue après le siphonage d’une quantité considérable de données.
Risque tiers : la propagation de l’impact via la supply chain numérique
L’ampleur de l’incident est directement corrélée à la position d’Eurofiber comme fournisseur d’infrastructures télécoms. En étant un maillon central de la connectivité, la compromission de sa surface d’attaque a immédiatement créé un effet de domino systémique. Les 3 600 clients touchés incluent une liste impressionnante d’opérateurs d’importance vitale (OIV) et d’acteurs majeurs de l’économie, tels que Thales, Airbus, TotalEnergies, Orange, et des entités essentielles au fonctionnement de l’État. Ce scénario illustre de manière flagrante le danger inhérent à la chaîne d’approvisionnement (supply chain). Une vulnérabilité non corrigée chez un fournisseur tiers se transforme instantanément en une vulnérabilité critique pour ses clients les plus sensibles. La publication d’un échantillon de 10% de la liste des victimes par ByteToBreach n’avait pour seul but que d’établir une preuve de concept avant de monétiser la totalité du leak sur les marchés noirs du dark web.
Hachages et secrets en clair : l’analyse des artefacts volés
L’inventaire des données exfiltrées révèle un niveau de risque alarmant. Si les 10 000 mots de passe étaient bien hachés à l’aide de l’algorithme bcrypt, leur vulnérabilité à une attaque par cassage hors ligne (offline cracking) reste élevée, surtout face à la puissance de calcul des GPU modernes. Cependant, le péril principal réside dans l’exposition de données non chiffrées : clés SSH, tokens API et configurations VPN étaient apparemment stockés en clair. Un token API est souvent un sésame permettant une escalade de privilèges immédiate, offrant un accès programmatique direct à des systèmes de production sans passer par une authentification classique. C’est ce type d’artefact non protégé qui peut permettre aux attaquants de basculer rapidement d’une simple fuite d’identifiants à une menace persistante avancée (APT) au sein des réseaux des clients. La présence d’historiques de tickets contient également des informations de contexte, de topologie réseau ou de communications qui sont des éléments précieux pour l’ingénierie sociale ou des attaques futures.
Défaut de patching et dette technique : la récurrence du facteur humain
Au-delà de l’exploit technique, cette affaire remet en question la gouvernance de la sécurité et la gestion des risques cybernétiques au sein des grandes structures. Le maintien d’une vulnérabilité critique connue pendant neuf mois est un symptôme d’une dette technique sévère et d’un manque de priorisation du patch management. L’hypothèse que la non-application du correctif était due à une peur d’introduire une instabilité opérationnelle, ou simplement à une surcharge des équipes, ne peut être exclue, mais elle n’est pas recevable au regard des conséquences.
Les logiciels open-source, bien que bénéficiant d’une communauté active et réactive pour les correctifs, exigent une discipline de mise à jour tout aussi rigoureuse que les solutions propriétaires. L’écho de cette négligence sur les plateformes comme X, où l’on observe un fatalisme ironique face à la difficulté de l’État à sécuriser ses propres prestataires, est révélateur du sentiment d’impuissance croissant.
Mesures d’urgence : que faire pour sécuriser vos accès
Si votre organisation utilise les services d’Eurofiber, il faut agir immédiatement. La priorité absolue est de changer toutes les clés d’accès qui ont pu être compromises. Cela signifie renouveler intégralement les mots de passe, révoquer les anciens tokens API et remplacer toutes les clés SSH. Même si les mots de passe étaient chiffrés, ils peuvent être cassés, donc il faut les changer sans attendre. Ensuite, il est vital d’activer l’authentification multi-facteur (MFA) absolument partout, car elle bloque l’accès même si un mot de passe a été volé.
Les équipes de sécurité doivent inspecter attentivement tous les journaux d’activité pour détecter le moindre mouvement suspect après la date de la fuite. En tant que prestataire essentiel, cet incident doit forcer tout le monde à mieux sécuriser ses systèmes. Ce n’est qu’en appliquant ces mesures et en exigeant des vérifications régulières que nous pourrons limiter la casse à l’avenir. L’incident Eurofiber doit servir de catalyseur pour des audits de sécurité tiers obligatoires et une automatisation accrue des processus de patching à l’échelle de l’industrie. La sécurité ne peut plus être une option, mais une contrainte opérationnelle fondamentale.
|
|