Un groupe de piratage sophistiqué soutenu par un État-nation non divulgué a violé le réseau de F5, volant le code source de BIG-IP et les détails de vulnérabilités, provoquant des avertissements d'urgence des autorités américaines et britanniques. Des milliers de réseaux, y compris ceux d'agences gouvernementales américaines et d'entreprises du Fortune 500, font face à des risques imminents d'attaques potentielles dans la chaîne d'approvisionnement. F5 a publié des mises à jour, mais les utilisateurs doivent agir immédiatement pour sécuriser leurs systèmes.
F5, un fabricant de logiciels de réseau basé à Seattle, a révélé le 15 octobre 2025 qu'un groupe de menaces 'sophistiqué' soutenu par un État-nation non divulgué avait infiltré de manière persistante son réseau sur une longue période, peut-être des années. Les pirates ont pris le contrôle du segment utilisé pour construire et distribuer les mises à jour pour BIG-IP, un produit déployé par 48 des 50 plus grandes entreprises mondiales en tant qu'équilibreurs de charge, pare-feu et outils d'inspection de données aux bords du réseau.
Pendant l'intrusion, le groupe a téléchargé le code source propriétaire de BIG-IP, des informations sur des vulnérabilités découvertes en privé mais non corrigées, et des configurations client. Cet accès soulève des craintes d'attaques dans la chaîne d'approvisionnement, où les pirates pourraient exploiter des faiblesses pour violer des milliers de réseaux sensibles, ou abuser de identifiants volés pour des intrusions supplémentaires. Comme l'a noté F5, la position en bord de BIG-IP permet aux appareils compromis d'étendre l'accès plus profondément dans les réseaux infectés.
Les enquêtes menées par IOActive, NCC Group, Mandiant et CrowdStrike n'ont trouvé aucune preuve de manipulation de la chaîne d'approvisionnement, de vulnérabilités introduites ou d'accès aux systèmes CRM, financiers, de support ou de santé de F5. Les entreprises ont confirmé l'absence de vulnérabilités critiques dans le code analysé et le pipeline de construction. Deux jours plus tôt, F5 a renouvelé les certificats de signature de BIG-IP, bien que son lien avec la violation reste non confirmé.
L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a averti d'une 'menace imminente' et d'un 'risque inacceptable' pour les agences fédérales, leur ordonnant d'inventorier tous les appareils BIG-IP —y compris ceux gérés par des tiers—, d'installer les mises à jour de F5 pour les produits BIG-IP, F5OS, BIG-IQ et APM, et de suivre un guide de chasse aux menaces fourni. Le Centre national de cybersécurité du Royaume-Uni a émis une directive similaire. Les utilisateurs du secteur privé de BIG-IP font face aux mêmes recommandations pour atténuer les risques.