Cisco FMC : une faille zero-day exploitée par un ransomware d...

Un ransomware a exploité une faille Cisco pendant plus d'un mois avant qu'elle soit corrigée

Le groupe de ransomware Interlock exploite activement une faille de sécurité dans un logiciel Cisco utilisé par des milliers d'entreprises pour gérer leurs pare-feu. Le plus inquiétant : ils l'exploitent depuis le 26 janvier 2026, soit plus d'un mois avant que Cisco ne publie un correctif le 4 mars.

C'est quoi, Cisco Secure FMC ?

Cisco Secure Firewall Management Center (FMC) est un logiciel qui permet aux entreprises de gérer leurs pare-feu depuis une interface centralisée. Un pare-feu, c'est le gardien de votre réseau : il décide qui peut entrer et qui reste dehors. Le FMC est l'outil qui configure ce gardien.

Quand le FMC est compromis, c'est comme si quelqu'un prenait le contrôle du tableau de bord de sécurité d'un immeuble entier.

La faille en question

La vulnérabilité, référencée CVE-2026-20131, a reçu la note maximale de 10 sur 10 en gravité. Ce score signifie que la faille est extrêmement facile à exploiter et extrêmement dangereuse.

Concrètement, un pirate peut envoyer une requête spéciale au logiciel depuis internet, sans avoir besoin de mot de passe ni d'identifiant. Cette requête lui donne un contrôle total sur le système, avec les droits les plus élevés possibles (accès "root").

Qui l'a découvert ?

C'est l'équipe de renseignement sur les menaces d'Amazon (via son réseau de capteurs MadPot) qui a fait la découverte. En analysant des attaques suspectes, ils ont constaté que le groupe Interlock utilisait cette faille depuis fin janvier — bien avant que quiconque ne sache qu'elle existait.

CJ Moses, responsable sécurité chez Amazon, résume : « Interlock avait un zero-day entre les mains. Ils ont eu plus d'un mois d'avance pour compromettre des organisations avant que les défenseurs ne sachent même où regarder. »

Un "zero-day", c'est une faille inconnue du fabricant et donc sans correctif. Pendant cette période, les victimes n'avaient aucun moyen de se protéger.

Qui est Interlock ?

Interlock est un groupe de cybercriminels actif depuis septembre 2024. Ils ont déjà revendiqué des attaques contre plusieurs cibles de premier plan : DaVita (un réseau de centres de dialyse), le système universitaire Texas Tech, la ville de Saint Paul dans le Minnesota, et le réseau hospitalier Kettering Health.

Leur mode opératoire est sophistiqué. Après avoir exploité la faille Cisco, ils installent plusieurs outils sur les systèmes compromis : des logiciels espions sur mesure, des scripts de reconnaissance qui cartographient l'environnement informatique de la victime, et des backdoors (portes dérobées) pour maintenir leur accès même si la faille est corrigée.

Comment se protéger

Cisco a publié un correctif le 4 mars 2026. Si vous utilisez Cisco Secure Firewall Management Center, la priorité absolue est de mettre à jour immédiatement.

Au-delà de cette mise à jour, il est recommandé de vérifier si votre système a été compromis entre fin janvier et début mars. Recherchez des installations non autorisées de ConnectWise ScreenConnect, un logiciel que les attaquants utilisent pour maintenir leur accès.

Enfin, une bonne pratique générale : ne jamais exposer l'interface de gestion d'un pare-feu directement sur internet. Elle doit être accessible uniquement depuis un réseau interne ou via un VPN.

Pourquoi c'est préoccupant

Cette attaque illustre un problème croissant en cybersécurité : les groupes de ransomware ciblent de plus en plus les équipements réseau (pare-feu, VPN) plutôt que les postes de travail. Ces appareils sont souvent moins surveillés par les équipes de sécurité, mais donnent un accès bien plus large au réseau de l'entreprise.

Comme le souligne CJ Moses : « La vraie leçon n'est pas qu'il faut patcher plus vite — c'est qu'une seule couche de défense ne suffit jamais. »