Un gang de ransomware exploitait une faille Cisco depuis janvier
Le groupe Interlock a utilisé une faille critique dans les pare-feu Cisco pendant 36 jours avant sa correction. Amazon a découvert l'attaque.
Un cambrioleur avec un passe-partout invisible
Imaginez qu'un cambrioleur découvre une faille dans un système d'alarme très répandu, et qu'il l'exploite tranquillement pendant plus d'un mois avant que le fabricant ne s'en aperçoive. C'est exactement ce qui vient de se passer dans le monde de la cybersécurité.
Le groupe de ransomware Interlock, des pirates spécialisés dans le chiffrement de données contre rançon, a exploité une faille critique dans le logiciel Cisco Secure Firewall Management Center (FMC pour les intimes). Ce logiciel sert de tableau de bord central pour gérer les pare-feu d'entreprise, ces barrières numériques qui protègent les réseaux informatiques des intrusions.
36 jours d'avance sur tout le monde
Le détail qui fait froid dans le dos : Interlock a commencé à exploiter cette faille le 26 janvier 2026, soit 36 jours avant que Cisco ne publie son correctif le 4 mars. En sécurité informatique, on appelle ça un zero-day, une vulnérabilité inconnue du fabricant et donc sans protection disponible.
C'est l'équipe de renseignement sur les menaces d'Amazon qui a tiré la sonnette d'alarme. CJ Moses, le responsable sécurité d'Amazon, ne mâche pas ses mots : les pirates avaient « une semaine d'avance pour compromettre des organisations avant même que les défenseurs ne sachent quoi chercher ».
Interlock, un groupe très actif
Ce gang n'en est pas à son coup d'essai. Depuis son apparition en septembre 2024, Interlock a frappé des cibles variées : le réseau de santé DaVita, le système universitaire Texas Tech, la ville de Saint Paul dans le Minnesota, et plusieurs universités britanniques. Plus récemment, des chercheurs d'IBM ont découvert qu'ils utilisaient même des malwares (logiciels malveillants) probablement générés par intelligence artificielle.
Ce que ça change pour vous
La faille, référencée CVE-2026-20131, permettait à un attaquant d'exécuter du code à distance sur les serveurs Cisco sans avoir besoin de mot de passe. Traduction : un pirate pouvait prendre le contrôle total d'un pare-feu d'entreprise depuis n'importe où dans le monde.
Cisco a publié son correctif et recommande fortement à toutes les entreprises utilisant Secure FMC de mettre à jour immédiatement. Si votre entreprise utilise des pare-feu Cisco, vérifiez avec votre équipe informatique que la mise à jour a bien été appliquée.
Cette affaire rappelle une réalité inconfortable : même les outils censés protéger nos réseaux peuvent devenir des portes d'entrée pour les attaquants. La course entre pirates et défenseurs ne s'arrête jamais.
À lire aussi
Faille Zimbra XSS : la CISA ordonne un patch d'urgence
La CISA a ordonné aux agences fédérales de patcher CVE-2025-66376, une faille XSS stockée dans Zimbra Collaboration Suite exploitée activement via CSS @import.
DarkSword : l'exploit iOS qui vole cryptos et données perso
DarkSword, un kit d'exploit ciblant iOS 18.4 à 18.7, vole cryptos, photos et messages via Safari. Trois groupes étatiques identifiés par Lookout et Google.
Interlock : le ransomware qui piratait Cisco depuis janvier
Le gang Interlock exploitait une faille critique dans les pare-feu Cisco bien avant que le correctif ne soit disponible. Decryptage.