Le périphérique Edge comme porte d’entrée pour les ransomwares :
7 Min. de lecture
L’équipement censé protéger un réseau de l’extérieur est devenu le point d’entrée le plus fréquent pour les ransomwares. Le groupe Akira a compromis des réseaux d’entreprises les uns après les autres via des VPN SonicWall non mis à jour, dans de nombreux cas même lorsque l’authentification multifactorielle était activée. La leçon est inconfortable et pertinente pour chaque SOC DACH : un appliance en bordure de réseau n’est pas un rempart, mais une cible de choix avec sa propre obligation de mise à jour.
Les points clés en bref
- Les appareils en bordure sont la porte d’entrée. Les appliances VPN et firewall se trouvent au début de la plupart des chaînes de ransomware actuelles.
- La MFA seule ne suffit pas. Les attaquants sont passés même avec une authentification multifactorielle active, via des connexions détournées.
- Le retard de correctif est la véritable faille. Les vulnérabilités exploitées sont souvent celles pour lesquelles une mise à jour existe depuis longtemps.
En lien :Quand le produit de protection est lui-même la faille / Le Time-to-Exploit chute à 24-48 heures
Pourquoi cibler précisément l’appareil en bordure
Qu’est-ce qu’un appareil en bordure ? Un appareil en bordure se situe à la frontière entre le réseau interne et Internet : passerelle VPN, firewall, appliance SSL-VPN. Il est accessible depuis l’extérieur, fonctionne 24h/24 et dispose de droits étendus sur le réseau. C’est précisément cette combinaison qui le rend si précieux pour les attaquants et si délicat pour les défenseurs.
La logique des attaquants est pragmatique. Un appareil en bordure est, par définition, exposé, sinon personne ne pourrait y accéder depuis l’extérieur. Il occupe une position privilégiée, car il contrôle le trafic vers le réseau interne. Et il est moins souvent mis à jour qu’un serveur, car une mise à jour sur une passerelle entraîne souvent une courte interruption pour tous les utilisateurs distants. Celui qui cherche un levier trouvera ici le plus efficace.
C’est précisément ce qu’a exploité le groupe Akira. Via des SSL-VPN SonicWall non mis à jour, les attaquants se sont introduits dans les réseaux d’entreprises et ont ensuite déployé des ransomwares. Au troisième trimestre 2025, les incidents liés à Akira ont augmenté d’environ 300 % par rapport au trimestre précédent, presque tous avec des appareils SonicWall compromis comme point de départ. Ce n’est pas un cas isolé, c’est un schéma.
Pourquoi la MFA n’était pas l’objectif, mais une étape
La partie la plus dérangeante des rapports : même les comptes avec une authentification multifacteur (MFA) active ont été compromis. Les attaquants se sont connectés avec succès via le SSL-VPN, incluant la validation du mot de passe à usage unique. Le second facteur n’a pas été contourné, mais utilisé. Cela se produit lorsque les identifiants et les jetons de session sont interceptés ou lorsque, lors d’une migration d’appareil, d’anciens mots de passe sont repris sans modification.
Pour les équipes qui considèrent la MFA comme une tâche accomplie, c’est un rappel brutal à la réalité. La MFA élève la barrière, elle ne la supprime pas. Celui qui fournit ce facteur via du phishing ou une session détournée se retrouve devant la même porte ouverte qu’auparavant. La solution n’est pas d’abandonner la MFA, mais de la rendre résistante au phishing et de surveiller les connexions en périphérie, plutôt que de les considérer comme un feu vert.
Idée reçue trompeuse
- Le pare-feu protège, il n’est pas une cible
- MFA activé signifie accès sécurisé
- Les correctifs en périphérie peuvent attendre la fenêtre de maintenance
Approche robuste
- Appareils en périphérie avec leur propre rythme de correctifs accéléré
- MFA résistante au phishing plutôt que mot de passe à usage unique
- Surveillance active des connexions au niveau de la passerelle
Ce qu’un SOC en retire concrètement
La première étape consiste en un inventaire honnête de ses propres appareils en périphérie. Quelles appliances VPN et pare-feu sont accessibles depuis l’extérieur, quelles versions de firmware sont en cours d’exécution, quand la dernière mise à jour a-t-elle été effectuée ? Étonnamment, cette vue d’ensemble fait souvent défaut, car la passerelle est considérée comme acquise et personne ne l’intègre dans la gestion régulière des vulnérabilités. Ce qui n’est pas inventorié n’est pas corrigé.
La deuxième étape concerne le rythme des correctifs lui-même. Un appareil en périphérie ne tolère pas une faille vieille de plusieurs semaines, car le temps avant exploitation (Time-to-Exploit) pour de telles appliances se compte aujourd’hui en heures, voire en quelques jours. Cela nécessite une fenêtre dédiée et rapide pour les mises à jour en périphérie, distincte du rythme plus lent des serveurs. Attendre ici, c’est offrir exactement le temps dont l’attaquant a besoin.
La troisième étape porte sur les hypothèses après une migration. La faille SonicWall exploitée a particulièrement touché les environnements où, lors d’un changement de génération, les mots de passe locaux avaient été repris sans modification. Chaque migration est donc un moment où les identifiants doivent être réinitialisés et les configurations vérifiées. Un mot de passe repris est une porte dérobée que personne n’a sciemment installée, mais qui reste ouverte.
Le pare-feu en bordure de réseau n’est pas le gardien derrière lequel on peut se détendre. C’est la machine la plus exposée de l’entreprise et elle mérite la discipline de correctifs la plus stricte.
La somme de ces trois étapes est sans éclat. Inventaire, correctifs rapides, identifiants propres. C’est précisément cette discrétion qui est en jeu. La vague Akira ne repose pas sur des zero-days géniaux, mais sur des failles connues affectant des appareils trop rarement mis à jour. Traiter l’appareil en périphérie comme le serveur critique qu’il est devenu, c’est retirer à la chaîne de ransomware la plus courante son point de départ.
Foire aux questions
Pourquoi les appliances VPN et pare-feu sont-elles des cibles si prisées ?
Elles sont accessibles depuis l’extérieur, fonctionnent en permanence et disposent d’un accès privilégié au réseau interne. En même temps, elles sont moins souvent corrigées que les serveurs, car les mises à jour entraînent des temps d’arrêt pour les utilisateurs distants. Cette combinaison en fait le point d’entrée le plus rentable.
Comment les attaquants ont-ils pu s’introduire malgré une MFA active ?
La deuxième étape d’authentification n’a pas été contournée, mais satisfaite. Grâce à des identifiants et des jetons de session interceptés, ou à des mots de passe repris à l’identique lors d’une migration, les attaquants se sont connectés de manière légitime, en validant même la demande de mot de passe à usage unique.
Quelle est la mesure d’urgence la plus importante ?
Un inventaire de tous les équipements Edge accessibles depuis l’extérieur et de leurs versions de firmware, suivi d’un patch rapide des failles connues. La plupart des vulnérabilités exploitées disposent depuis longtemps d’une mise à jour disponible.
Suffit-il d’activer la MFA ?
Non. La MFA oppose un obstacle supplémentaire, mais ne l’élimine pas. Il est judicieux d’opter pour une MFA résistante au hameçonnage plutôt que pour des mots de passe à usage unique classiques, le tout combiné à une surveillance des connexions au niveau de la passerelle.
Pourquoi une migration est-elle un moment critique ?
Lors d’un changement de génération, les configurations et les comptes sont repris. Si les anciens mots de passe restent inchangés, une porte dérobée se crée. Chaque migration doit donc inclure une réinitialisation des identifiants et une vérification de la configuration.
Plus d’articles du réseau MBF Media
Source de l’image : générée par IA (juin 2026)
