Trois capitales ont bougé le même lundi

En décembre 2025, en plein hiver, une attaque contre l'infrastructure énergétique polonaise est passée assez près du but pour que les gouvernements décrivent aujourd'hui ce qu'elle aurait provoqué: environ 500 000 civils coupés de leur électricité. Elle a échoué. Le 13 juillet 2026, l'Europe a dit tout haut qui avait essayé.

L'UE et le Royaume-Uni ont annoncé des sanctions coordonnées le même jour. Le Royaume-Uni a désigné 24 personnes et entités. L'UE a inscrit neuf personnes et quatre entités, ce que sa cheffe de la diplomatie a qualifié de plus important paquet de sanctions cyber jamais adopté par le bloc. Trente-trois cibles au total, assorties de gels d'avoirs, d'interdictions de voyage et de l'interdiction de mettre des fonds ou des ressources économiques à leur disposition.

Les noms sont précis. Trois officiers du GRU: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. Media Land LLC, hébergeur dit bulletproof, et son affilié ML.Cloud, liés à des pertes par rançongiciel et par hameçonnage partout en Europe. Z-Pentest, qui selon le Conseil s'en est pris à des infrastructures critiques, dont l'énergie et l'eau. Dix personnes derrière Rybar LLC. Les opérateurs du maliciel voleur d'identifiants Lumma Stealer. Et derrière l'attaque du réseau polonais, une unité: le Centre 16 du FSB.

Les sanctions parlent du passé. Ce qui est sorti le même jour parle de votre réseau.

La voie d'entrée n'avait rien d'ingénieux

Le National Cyber Security Centre britannique a publié un avis conjoint avec douze autres pays - les États-Unis, l'Australie, le Canada, la Tchéquie, le Danemark, l'Estonie, la Finlande, la France, l'Italie, la Nouvelle-Zélande, la Pologne et la Suède - qui décrit comment le Centre 16 du FSB pénètre réellement les réseaux. Le groupe est suivi depuis des années sous une pile de noms: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.

Les techniques sont la partie décevante. Balayage à l'échelle d'Internet à la recherche du protocole SNMP avec des chaînes de communauté par défaut ou faibles. Abus de Cisco Smart Install, une fonction de provisionnement conçue pour faciliter le déploiement des commutateurs et que la plupart des organisations n'ont jamais désactivée une fois le déploiement terminé. Vulnérabilités connues et publiées dans les portails web des équipements réseau. Secteurs visés: communications, défense, énergie, services financiers, administration, santé.

Aucune capacité exotique dans cette liste. Un service de renseignement d'État entre dans des infrastructures critiques par des configurations par défaut et du matériel de périphérie non corrigé, parce que cela fonctionne et que cela reste silencieux. Les équipements réseau n'exécutent pas d'agent endpoint. Ils n'apparaissent pas dans la plupart des scans de vulnérabilités. Personne n'est alerté quand l'un d'eux est compromis, parce qu'il n'y a rien dessus qui puisse alerter.

Les mesures d'atténuation de l'avis sont d'une simplicité à l'avenant: passer à SNMPv3 et désactiver les versions héritées, utiliser des mots de passe robustes et uniques sur les équipements réseau, restreindre l'accès aux protocoles d'administration, et couper Smart Install.

Pourquoi un bug de 2008 se voit imposer trois jours

Ce même 13 juillet, les États-Unis ont ajouté exactement une vulnérabilité à leur catalogue des vulnérabilités activement exploitées. Pas une zero-day fraîche. La CVE-2008-4128, une faille de falsification de requête intersites dans Cisco IOS, divulguée en 2008. L'échéance de remédiation qui l'accompagne était le 16 juillet: trois jours.

Une entrée dans ce catalogue ne veut dire qu'une seule chose. Ce n'est pas un score de gravité théorique, ni la preuve de concept d'un chercheur. Cela signifie que la faille est exploitée dans la nature, maintenant, et le catalogue qui la porte a dépassé les 1 638 entrées avec cet ajout. Le délai de trois jours lie les agences fédérales américaines, mais le signal qu'il envoie n'a rien d'administratif. Un bug de dix-huit ans ne se voit pas imposer une horloge d'urgence parce que quelqu'un l'a redécouvert. Il s'en voit imposer une parce qu'il est utilisé en ce moment même.

Mettez les deux documents côte à côte et l'image se forme. L'avis dit qu'un acteur étatique vit dans les équipements réseau. Le catalogue dit que la porte précise est une faille Cisco assez vieille pour voter. Rien dans cette campagne n'a exigé que quiconque invente quoi que ce soit. Il a suffi que le défenseur ne regarde jamais le commutateur.

À qui appartient le routeur ?

Posez la question dans votre propre organisation et observez ce qui se passe. Les serveurs ont un propriétaire, un cycle de correctifs et un agent de supervision. Les portables ont un gestionnaire de parc. Le routeur dans la baie, le commutateur de l'agence, le pare-feu que l'infogérant a installé il y a quatre ans et sur lequel il ne s'est pas reconnecté depuis: ceux-là appartiennent en général à celui qui les a mis en service, c'est-à-dire très souvent à quelqu'un qui ne travaille plus chez vous.

Cet angle mort est désormais juridique autant que technique. Avec NIS2, les entités essentielles et importantes doivent gérer le risque sur l'ensemble des réseaux et systèmes d'information qu'elles utilisent, et les équipements réseau en font partie sans ambiguïté. En France, c'est l'ANSSI qui supervise ces obligations et qui relaie ce type d'avis technique. Une autorité qui vous demande comment vous surveillez vos fournisseurs et votre infrastructure n'acceptera pas que le matériel de périphérie soit tombé entre l'équipe interne et l'équipe externalisée. Cela vaut aussi pour l'infogérance: si un prestataire exploite vos équipements réseau, son hygiène de configuration devient votre exposition au risque, et votre contrat est l'endroit où cela est traité ou ne l'est pas.

Pour toute organisation dans l'énergie, l'eau, les transports, la santé ou l'infrastructure numérique, cet avis n'est pas de la sensibilisation générale. Il nomme votre secteur, il nomme le protocole, et il arrive accompagné d'une liste de personnes désignées qui s'en servaient.

Ce qu'il faut faire cette semaine

L'inventaire d'abord, parce qu'on ne corrige pas ce qu'on n'a pas recensé. Chaque commutateur administrable, chaque routeur, chaque pare-feu et chaque équipement réseau, y compris ceux des agences et ceux qu'un fournisseur a installés. Si cet inventaire n'existe pas, le construire est le travail de la semaine, et il vaut plus que n'importe quel outil que vous pourriez acheter à la place.

Ensuite, trois actions concrètes tirées de l'avis. Désactiver Cisco Smart Install partout où il est encore actif, ce qui, pour la plupart des parcs, veut dire partout où il l'a été un jour. Faire passer SNMP en version 3 avec authentification et chiffrement, et désactiver les versions 1 et 2c, qui transmettent les chaînes de communauté en clair. Sortir les interfaces d'administration de tout chemin accessible depuis Internet et les placer derrière un segment réseau contrôlé.

Enfin, vérifiez si vos équipements réseau produisent des journaux que quelqu'un lit réellement. Si cette campagne a duré, c'est parce qu'un équipement réseau compromis reste muet. Un routeur reconfiguré ressemble exactement à un routeur qui ne l'a pas été, sauf si quelqu'un le compare à une configuration de référence.

Rien de tout cela n'est un conseil nouveau. C'est précisément le problème, et c'est pourquoi treize gouvernements ont jugé nécessaire de le dire ensemble.