Les groupes de rançongiciel — dont Akira — ciblent activement les points de terminaison SonicWall SSL VPN au moyen d’un mélange de vulnérabilités connues, d’un durcissement insuffisant et de paramètres par défaut risqués. Des avis récents signalent l’exploitation active de CVE-2024-40766 contre les portails SonicWall SSLVPN, la reprise des attaques contre les appareils SMA 100/1000 (y compris une campagne de rootkit OVERSTEP), ainsi que de nouveaux correctifs en 2025 pour des failles critiques de l’interface Web.

Si vous exposez un SSL VPN SonicWall ou le Virtual Office Portal sur Internet — et que vous n’avez pas appliqué des correctifs et un durcissement agressifs — considérez-vous exposé. Désactivez l’SSLVPN accessible publiquement lorsque possible, corrigez immédiatement les appareils SMA/Gen7, verrouillez le Virtual Office Portal, faites tourner les identifiants et la MFA, et surveillez les signes de compromission.

Les attaquants ne tâtonnent pas — ils automatisent la découverte et l’exploitation à grande échelle. Des balayages de type Shodan repèrent les bannières de connexion SonicWall et les portails Virtual Office, puis des botnets sondent le micrologiciel vulnérable, les suites TLS/chiffrement faibles et les chemins connus qui divulguent l’état ou des jetons de session. S’ils ne parviennent pas à exploiter une CVE d’emblée, ils passent au credential stuffing sur les connexions VPN (mots de passe réutilisés provenant d’autres brèches) et au password spraying de combinaisons usuelles.

À partir de là, les affiliés d’Akira tentent généralement d’inscrire leur propre MFA (si l’auto-inscription est permise) ou d’enregistrer un TOTP frauduleux sur un compte déjà compromis. Sur SMA 100/1000, une exploitation réussie de l’interface Web peut fournir un accès au niveau système, permettant d’implanter de la persistance (p. ex., des hooks au démarrage, semblables à OVERSTEP), de récupérer les identifiants LDAP stockés et de creuser plus profondément dans votre réseau.

Les mauvaises configurations finissent souvent le travail. Des droits VPN étendus pour « Domain Users », des partages Virtual Office ouverts et le split tunneling vers des applications sensibles offrent aux attaquants un mouvement latéral en quelques minutes. Les lacunes de journalisation aggravent la situation : de nombreuses PME n’acheminent pas les journaux du portail vers un SIEM/XDR, si bien que des connexions depuis des géolocalisations anormales, des agents utilisateurs inhabituels et des authentifications après les heures passent inaperçues.

Traitez l’SSLVPN comme un actif de niveau zéro : restreignez par géo/IP, exigez une MFA approuvée par un administrateur, supprimez l’auto-inscription, appliquez des groupes AD à moindre privilège et ne conservez que du micrologiciel à jour. Enfin, surveillez les indicateurs post-compromission — nouveaux comptes admin locaux sur l’appareil, exportations de configuration soudaines, redémarrages inexpliqués ou pic d’échecs de connexion. Si l’un de ces signaux apparaît, déclenchez immédiatement la réponse aux incidents.

Ce qui se passe, en termes simples

Au cours de la dernière année, le matériel d’accès à distance SonicWall a attiré une attention soutenue des criminels :

• Le rançongiciel Akira exploite de nouveau une faille critique de contrôle d’accès (CVE-2024-40766) pour s’introduire dans des organisations via des portails SonicWall SSLVPN non corrigés. Ce n’est pas théorique : une exploitation a été observée en septembre 2025. Les attaquants automatisent des analyses à l’échelle d’Internet pour trouver les bannières SonicWall, puis enchaînent le credential stuffing avec la faille pour obtenir un point d’appui. Lorsque l’auto-inscription MFA est activée, ils tentent d’enregistrer leur propre appareil TOTP, transformant une intrusion ponctuelle en accès durable. Ensuite, ils se tournent vers Active Directory, visent les sauvegardes et exfiltrent des fichiers pour la double extorsion.
• Les appareils SMA 100/1000 ont connu une série de problèmes graves. En 2025, SonicWall a corrigé plusieurs bogues critiques de l’interface Web pouvant mener à une exécution de code à distance (RCE) et a appelé à une action urgente à la lumière de la campagne de logiciel malveillant/rootkit OVERSTEP visant les clients SMA 100. Certaines failles figurent maintenant au catalogue KEV de la CISA (vulnérabilités activement exploitées). Le statut KEV est important : il signale fiabilité et abus en cours, ce qui attire des imitateurs et des kits d’exploitation commercialisés. Sur des appareils faiblement segmentés, une RCE sur le plan de gestion peut rapidement devenir une compromission du domaine.
• Indépendamment de la RCE, un bogue de chaîne de format (CVE-2025-40600) dans les interfaces SSLVPN des pare-feux Gen7 permet un déni de service (DoS) non authentifié — ce qui peut quand même mettre votre accès à distance hors ligne au pire moment. Pour les PME en mode hybride ou entièrement à distance, même une courte panne peut paralyser les ventes, le soutien et les opérations financières. Les adversaires associent parfois le DoS à l’extorsion ou l’utilisent pour détourner l’attention pendant qu’ils frappent d’autres actifs.
• Des chercheurs et des intervenants d’incident signalent également que des mauvaises configurations — et pas seulement des CVE — ouvrent des portes : Virtual Office Portals publics, ciblage LDAP trop large, et failles d’inscription MFA permettant aux attaquants d’enregistrer un TOTP sur des comptes compromis. En bref, même des appareils « entièrement corrigés » peuvent rester risqués si les paramètres par défaut n’ont pas été resserrés. Les écueils courants incluent l’octroi du VPN aux « Domain Users », le maintien du split tunneling vers des applications sensibles et l’absence d’acheminement des journaux du portail vers un SIEM/XDR — de sorte que des géolocalisations étranges, de nouveaux agents utilisateurs et des connexions après les heures passent sous le radar.

Les surfaces d’accès à distance SonicWall subissent une pression active et renouvelée. Corrigez, durcissez, réduisez l’exposition et surveillez les signes de compromission — maintenant.

Pourquoi les PME canadiennes devraient s’en soucier

Les PME s’appuient souvent sur un seul appareil de périmètre pour le VPN, le pare-feu et l’accès à distance. Cela fait des appareils SonicWall une cible de grande valeur — un boîtier pour prendre le réseau en main. Les attaquants savent que beaucoup de PME présentent :

• Des cycles de correctifs limités ou un micrologiciel ancien.
• Des configurations « installer et oublier » laissées aux valeurs par défaut.
• Des groupes d’accès à distance trop larges liés à Active Directory (AD).
• Des portails VPN ouverts à tout Internet.

Les groupes de rançongiciel monétisent la vitesse. Une compromission réussie d’un SonicWall SSLVPN peut mener à la prise de contrôle d’AD, à la suppression des sauvegardes, au vol de données et au chiffrement en quelques heures. Les avis récents de plusieurs fournisseurs et organismes soulignent exactement ce vecteur d’entrée pour des opérations de type Akira.an lead to AD takeover, backup deletion, data theft, and encryption in hours. Recent guidance from multiple vendors and agencies highlights this exact entry path for Akira-style operations.

Chronologie rapide (faits saillants 2024–2025)

• 2024–2025 : SonicWall publie des correctifs pour des problèmes critiques des séries SMA 100/1000; la CISA signale l’exploitation active d’anciennes failles SMA. Conséquence : la cadence de correctifs s’accélère et plusieurs avis passent de « important » à « tout arrêter ». Les inscriptions au catalogue KEV indiquent l’existence de code de preuve de concept et d’intrusions réelles, poussant les défenseurs à passer des mises à jour de routine à des fenêtres de maintenance d’urgence. Plusieurs PME découvrent des appareils en fin de vie et doivent planifier des remplacements en parallèle du correctif — délais serrés, risque élevé.
• Mi-2025 : Signalements du rootkit OVERSTEP sur SMA 100; SonicWall recommande des mises à niveau vers 10.2.2.1-90sv ou plus récent et met en avant CVE-2025-40599. Conséquence : ce n’était pas un simple nettoyage de web shell. OVERSTEP révèle une persistance au niveau du démarrage, nécessitant un réimage ou une reconstruction propre, ainsi qu’une rotation des identifiants (liaisons LDAP, administrateurs locaux, clés API). Les organisations sans sauvegardes de configuration ni builds documentés ont perdu un temps précieux à recréer les politiques.
• Juillet–août 2025 : Rumeurs sectorielles d’une possible faille zero-day sur SSLVPN/Gen7; SonicWall reconnaît des enquêtes et recommande des mesures strictes tout en confirmant les consignes de correctif. Conséquence : même pendant la validation des correctifs, on demande aux exploitants de réduire l’exposition — listes d’adresses IP autorisées, limitation de débit, flux MFA renforcés et désactivation de Virtual Office public. Pour plusieurs, c’était la première adoption du principe « seulement à partir d’IP connues » pour les portails VPN.
• Septembre 2025 : Akira exploite activement CVE-2024-40766 sur des SSLVPN non corrigés; de multiples avis soulignent les risques de mauvaise configuration (Virtual Office, paramètres par défaut LDAP, lacunes MFA). Conséquence : les attaquants combinent CVE et abus de configuration. Les défenseurs qui ont corrigé et resserré les valeurs par défaut (ciblage des groupes, contrôles d’inscription MFA, journalisation vers SIEM/XDR) s’en sortent mieux; les autres subissent mouvement latéral, manipulation des sauvegardes et extorsion en quelques heures.

Qui est à risque immédiat?

Si votre SonicWall SSLVPN ou votre Virtual Office Portal est librement accessible depuis Internet, vous êtes déjà dans la zone d’éclaboussures : des scanners automatisés trouvent ces services en quelques minutes et enchaînent exploits et password spraying 24/7. Le risque augmente encore si vous exécutez un SMA 100 sous la version 10.2.2.1-90sv ou antérieure, ou si vous avez différé les correctifs de fin 2024/2025 — les attaquants recherchent activement les empreintes de version pour choisir le bon kit d’exploitation.

Même des environnements entièrement corrigés se font piéger lorsque les contrôles d’identité sont lâches : des mappages LDAP par défaut accordant l’accès VPN aux « Domain Users », à « Everyone/Tout le monde » ou à de larges groupes départementaux transforment le VPN en laissez-passer général, et un seul compte compromis devient une clé pour tout le réseau.

C’est la même chose pour l’auto-inscription MFA depuis des portails publics : si un attaquant hameçonne un mot de passe, il peut enregistrer son propre authentificateur et verrouiller sa persistance. Ajoutez l’absence de listes d’IP autorisées, le split tunneling vers des applis sensibles, des PC personnels non gérés, des comptes admin partagés, ou une journalisation SIEM/XDR qui n’achemine pas les événements du portail — et vous avez créé un chemin d’intrusion simple et reproductible.

Comment les attaquants s’y prennent

1. Exploiter une interface Web vulnérable. Les adversaires commencent par des balayages Internet à grande échelle pour empreinter les portails SonicWall, puis testent les vecteurs connus : CVE-2024-40766 sur SSLVPN et une série de bogues upload/RCE sur l’interface Web des SMA en 2025. Si l’exploitation échoue, beaucoup passent à un DoS non authentifié pour faire tomber le portail et pousser l’informatique à effectuer des changements hâtifs ou à exposer un accès alternatif. Les chaînes d’attaque incluent souvent la fixation de session, une gestion faible des cookies, et des tentatives de rétrogradation contre des suites TLS/chiffrement obsolètes. Même de courtes fenêtres entre divulgation et correctif suffisent à des kits automatisés pour obtenir un shell.
2. Abuser des mauvaises configurations. Si Virtual Office est exposé publiquement et que le ciblage des groupes AD est large, un identifiant/mot de passe divulgué peut devenir une tête de pont durable. Les attaquants testent l’auto-inscription MFA/TOTP et lient immédiatement leur propre authentificateur, de sorte que des réinitialisations de mot de passe ultérieures ne les évinceraient pas. Les « facilitateurs » typiques : droits VPN par défaut pour Domain Users, split tunneling vers des applis Finance/Opérations, et journaux du portail qui n’arrivent jamais dans un SIEM/XDR — ce qui laisse passer des géographies étranges et de nouveaux user-agents.
3. Escalader. Avec l’accès à l’appareil ou au compte, ils pivotent vers Active Directory, recherchent consoles d’administration et cibles de sauvegarde, désactivent ou corrompent les protections, et exfiltrent les données avant de déclencher un rançongiciel (les affiliés d’Akira privilégient les outils « living off the land », RDP et PSExec). Attendez-vous à des manipulations de stratégies de groupe (GPO), à la suppression des shadow copies et à la création rapide de comptes pour la persistance.
4. Persistance par rootkit (SMA 100). Des campagnes comme OVERSTEP modifient les routines de démarrage et implantent des fichiers pour que l’appareil survive aux redémarrages et à l’effacement des artefacts évidents. Un nettoyage efficace exige généralement un réimage complet vers un micrologiciel de confiance, une rotation des identifiants (y compris liaisons LDAP et admins locaux), et une reconstruction à partir de sauvegardes de configuration connues saines.

Actions immédiates

Si vous dirigez une PME, partagez cette liste avec l’équipe TI dès maintenant.

1. Identifier l’exposition
   • Trouvez chaque SSLVPN SonicWall et point de terminaison Virtual Office exposé à Internet. Si Virtual Office n’est pas strictement requis à l’externe, retirez-le ou restreignez-le (liste d’IP autorisées ou géorestriction).
2. Mettre à jour vers le micrologiciel pris en charge le plus récent
   • SMA 100 : passez à 10.2.2.1-90sv ou plus récent (corrige CVE-2025-40599 et d’autres problèmes). Vérifiez qu’aucun matériel EoL ne reste en production.
   • Gen7 SSLVPN : appliquez les versions de maintenance SonicOS actuelles; consultez les avis pour CVE-2025-40600 (DoS) et tout composant SSLVPN.
   • SMA 1000 : validez la remédiation pour CVE-2025-23006 le cas échéant.
3. Durcir les accès
   • Désactivez les chiffrements hérités/faibles; imposez TLS 1.2+ et des suites robustes.
   • Verrouillez les filtres de groupes LDAP au strict nécessaire métier. Pas de « Domain Users ».
   • MFA avec approbation hors bande (inscription approuvée par un admin). N’autorisez pas l’auto-inscription publique via Virtual Office.
   • Restreignez SSLVPN/portail par IP source (bureaux partenaires, IP résidentielles des employés, bastion géré).
4. Hygiène des identifiants
   • Faites tourner tous les mots de passe admin de l’appareil et des utilisateurs VPN.
   • Invalidez et réémettez les graines MFA/TOTP pour tout compte s’étant connecté via des portails exposés.
5. Surveillance et intervention
   • Transférez les journaux vers un SIEM/XDR; alertez sur les connexions échouées/réussies depuis de nouvelles géos, de nouveaux user-agents, et en dehors des heures.
   • Chassez les indicateurs OVERSTEP/persistance sur SMA 100; considérez les appareils suspects comme compromis jusqu’au réimage.
   • En cas d’activité anormale, supposez une exposition d’identifiants et engagez la réponse aux incidents.

À quoi ressemble le « bon » (base de durcissement SonicWall SSLVPN)

• Réduction de l’exposition : aucun Virtual Office public sans justification; SSLVPN placé derrière des restrictions géographiques/IP.
• Frontière d’identité robuste : ciblage des groupes AD par rôle (Finance-VPN, OT-VPN, Support-VPN). Pas de « Tous les employés » imbriqué. MFA approuvée par un administrateur obligatoire.
• Micrologiciel à jour uniquement : SMA/Gen7 sur les dernières versions prises en charge; appareils fin de vie (EoL) retirés du service.
• Sauvegardes de config & rotation des secrets : après les correctifs, faites tourner les identifiants admin et réinitialisez les graines MFA.
• Télémétrie continue : journaux de l’appareil envoyés vers un SIEM/XDR surveillé, avec alertes 24×7 et procédures d’intervention.

Mesures compensatoires si vous ne pouvez pas encore désactiver l’SSLVPN

• Placez l’SSLVPN derrière un reverse proxy qui applique des listes d’IP autorisées, limite le débit et ajoute une protection anti-bots.
• Exigez une posture de l’appareil (certificats d’appareils gérés) avant d’afficher la page de connexion.
• Désactivez entièrement l’inscription MFA via le Web; imposez une inscription assistée par le centre de services.
• Limitez les sessions concurrentes, imposez des verrouillages agressifs des comptes et affichez des bannières de connexion pour décourager l’ingénierie sociale.

Envisager un virage stratégique : du SSL VPN hérité à l’accès Zero Trust

Les SSL VPN classiques reposent sur « faire confiance au tunnel ». Les attaques modernes visent directement cette hypothèse. Pour de nombreuses PME, il est temps de réduire les portails VPN exposés à Internet et d’adopter l’accès réseau Zero Trust (ZTNA) avec accès par application, vérifications de santé des appareils, identité forte, et jetons de courte durée.

Avantages pour les PME : pas d’accès réseau large; les utilisateurs n’atteignent que les applications ciblées. Posture solide des appareils (EDR/XDR, niveau de correctifs du SE, chiffrement de disque) avant l’accès. Traces d’audit plus serrées et déprovisionnement plus simple. Moindre rayon d’explosion lorsque des identifiants fuient. Vous pouvez conserver les tunnels site à site pour la connectivité des succursales tout en migrant les utilisateurs à distance vers le ZTNA.

Un chemin pratique est axé sur l’identité : intégrez le ZTNA à votre SSO (Azure AD/Microsoft Entra, Okta, etc.), imposez une MFA approuvée par un admin, et mappez les rôles à des politiques de moindre privilège (p. ex., Finance-Apps, Support-Tools, Vendor-Portal). Déployez des connecteurs légers sur site pour publier des applis Web héritées, RDP/SSH et bases de données sans les exposer à Internet. Pour le SaaS, appliquez des contrôles d’accès conditionnels (appareil géré, SE conforme, aucune IP risquée) et exigez des certificats d’appareils pour distinguer les terminaux d’entreprise des BYOD. Pour les fournisseurs, proposez un accès via navigateur isolé avec contrôle du presse-papiers/téléchargements afin de limiter les pertes de données.

Planifiez un déploiement par étapes : démarrez avec un pilote de 10–20 utilisateurs, migrez d’abord les applis « à faible risque », puis retirez les portails VPN publics lorsque la couverture atteint 80–90 %. Suivez les indicateurs — délai moyen de révocation d’accès, % de sessions depuis des appareils gérés, et connexions risquées bloquées — pour démontrer le ROI. Attendez-vous à une parité de licences avec le SSL VPN, plus du temps SOC économisé grâce à moins d’alertes de force brute et de fenêtres de correctifs d’urgence. L’état final : aucune page de connexion VPN ouverte, rayon d’explosion minimal, et un accès qui s’adapte à l’utilisateur, à l’appareil et au risque en temps réel.

Conseils budgétaires pour dirigeants de PME

Risque vs coût : une brèche SonicWall signifie généralement arrêt + rançon + reprise. Une seule journée d’arrêt pour une entreprise de 40 employés peut dépasser une année de licences MDR ou ZTNA. Ajoutez les heures supplémentaires, les ventes perdues et l’atteinte à la réputation, et l’option « économique » (reporter les mises à niveau) devient la plus coûteuse.

Où investir d’abord : commencez par les contrôles qui réduisent votre surface d’attaque dès aujourd’hui :

1. Corriger & durcir les portails exposés à Internet (fermer Virtual Office, ajouter des listes d’IP autorisées, imposer TLS et des chiffrements modernes).
2. Identité : MFA avec approbation admin, SSO, gestionnaire de mots de passe d’entreprise, et nettoyage des groupes AD trop larges.
3. EDR/XDR + SOC 24×7 pour détecter et contenir rapidement les abus.
4. Sauvegardes : instantanés immutables, copies hors ligne, et tests de restauration trimestriels — sans exception.

Maximiser chaque dollar :

• Privilégiez les abonnements OPEX plutôt que de gros CAPEX; regroupez ZTNA + EDR chez un même fournisseur ou MSSP pour des rabais.
• Adoptez une approche pilote d’abord (10–20 utilisateurs) avant un déploiement ZTNA complet; élargissez au fur et à mesure que vous retirez les portails VPN publics.
• Remplacez les appareils vieillissants et exigeants par du matériel pris en charge pendant des fenêtres planifiées pour éviter la main-d’œuvre « d’urgence » coûteuse.
• Financez un sprint de durcissement d’une journée et un exercice sur table — faible coût, fort impact.
• Alignez-vous sur les exigences de votre assurance cyber pour éviter les surprimes et obtenir des crédits.

Mesurer les résultats : suivez le nombre de portails publics (cible : zéro), le délai moyen de correctif (cible : jours, pas semaines), le % d’utilisateurs derrière MFA/SSO, la couverture EDR (≥ 95 %), et l’alerte des échecs de connexion routée vers votre SOC. Reliez ces mesures à des ICP trimestriels pour que les dépenses de sécurité restent visibles — et défendables.

Contexte canadien et conformité

Même si la plupart des avis sont axés sur les États-Unis (CISA), les leçons s’appliquent directement ici. Les PME canadiennes sont soumises aux obligations de la LPRPDE (PIPEDA) en cas d’atteinte aux renseignements personnels. Si vous confirmez un accès non autorisé via votre SSLVPN, traitez-le comme un incident de confidentialité à déclarer et impliquez un conseiller juridique. Alignez vos changements sur des cadres reconnus (NIST CSF, ISO 27001) et sur le modèle MITRE ATT&CK pour la couverture de détection.

Comment Fusion Cyber peut aider

Fusion Cyber, MSSP/MSP basé à Montréal (fondé en 1985, incorporé en 2004), met l’accent sur une sécurité de calibre entreprise pour les PME. Nous opérons un SOC 24×7, offrons MDR/EDR/XDR, SIEM, chasse aux menaces, gestion des vulnérabilités, DFIR, sauvegardes/BCDR, GRC/sensibilisation, Zero Trust, et plus — le tout mappé à MITRE ATT&CK et à la Cyber Kill Chain. Nous appuyons aussi nos clients avec une Garantie de cybersécurité financièrement appuyée : les clients pleinement intégrés qui subissent une brèche reçoivent l’intervention complète, le confinement et la reprise d’affaires à nos frais. Besoin d’aide urgente pour durcir ou migrer hors d’un SSLVPN hérité? Nous sommes là.

Si vous souhaitez mettre à l’épreuve vos contrôles de paiement — ou obtenir une Norme de vérification des paiements en deux pages que vous pouvez déployer dès la semaine prochaine.

👉 Contactez-nous dès aujourd’hui!