Interlock : le ransomware qui piratait Cisco depuis janvier

Un gang de ransomware avait une longueur d'avance

Quand une entreprise decouvre une faille dans son logiciel et publie un correctif, on espere que personne ne l'a deja exploitee. Dans le cas du gang Interlock, c'est rate : ils avaient deja 36 jours d'avance.

Interlock est un groupe de cybercriminels specialise dans le ransomware. Leur methode : s'introduire dans les systemes informatiques d'entreprises, voler des donnees sensibles, puis chiffrer les fichiers et reclamer une rancon. Ce groupe a deja frappe des hopitaux, des universites et des villes entieres aux Etats-Unis.

La faille Cisco qui a tout permis

Cisco, le geant des equipements reseau, commercialise un logiciel appele Secure Firewall Management Center. C'est une sorte de tour de controle qui gere les pare-feu d'une entreprise. Imaginez le gardien qui surveille toutes les portes d'un batiment : si quelqu'un prend le controle du gardien, toutes les portes sont ouvertes.

La faille decouverte permettait a un attaquant d'executer du code a distance avec les privileges les plus eleves, sans meme avoir besoin de se connecter au prealable. En termes de gravite, c'est le niveau maximum.

36 jours dans l'ombre

Selon l'equipe de securite d'Amazon, Interlock exploitait cette faille depuis le 26 janvier 2026, soit plus d'un mois avant que Cisco ne publie son correctif le 4 mars. Pendant ce temps, les entreprises ne pouvaient pas se defendre puisqu'elles ignoraient l'existence du probleme.

CJ Moses, le responsable securite d'Amazon, a souligne la gravite de la situation : Interlock disposait d'un zero-day (une faille inconnue du fabricant) leur donnant une avance considerable sur les defenseurs.

Un contexte preoccupant pour Cisco

Ce n'est malheureusement pas un cas isole. Depuis le debut de l'annee, Cisco a du corriger plusieurs autres failles critiques exploitees par des attaquants, touchant ses solutions de messagerie securisee, de communications unifiees et de reseau SD-WAN.

Cisco a confirme la situation et encourage vivement ses clients a mettre a jour leurs systemes le plus vite possible.

Que faire si vous utilisez du materiel Cisco ?

Si votre entreprise utilise le Cisco Secure Firewall Management Center, verifiez immediatement que la mise a jour du 4 mars a ete appliquee. Si ce n'est pas le cas, traitez cette mise a jour comme une urgence absolue.

Pour les particuliers, cette affaire ne vous impacte pas directement, mais elle illustre bien pourquoi les mises a jour de securite ne doivent jamais etre repoussees, que ce soit sur votre ordinateur, votre telephone ou votre box internet.

Sources : Amazon Web Services Security Blog, Cisco Security Advisory, BleepingComputer