Team AAZ - Forum

Le 25 juillet, Orange a bloqué une intrusion informatique ciblée. L’opération, pilotée par Orange Cyberdefense, a temporairement perturbé certains services professionnels en France.

Le groupe Orange a annoncé avoir détecté une cyberattaque ciblant l’un de ses systèmes d’information le 25 juillet 2025. Grâce à l’intervention rapide de sa division spécialisée Cyberdefense, les équipements compromis ont été isolés dès la détection, limitant l’impact sur les infrastructures essentielles. Bien que des interruptions aient été observées sur certaines plateformes destinées aux professionnels, aucun vol de données n’a été confirmé. Cet incident est le deuxième en 2025 pour le géant télécoms, après une attaque sur sa filiale roumaine en février. Des similitudes techniques avec les attaques du groupe Salt Typhoon, connu pour ses liens avec le cyber-espionnage chinois, interrogent sur une stratégie d’infiltration coordonnée visant les grands opérateurs mondiaux.

Une faille isolée au cœur de l’été

Vendredi 25 juillet 2025. Alors que la majorité des entreprises françaises fonctionnent au ralenti en cette fin juillet, une alerte s’enclenche au siège d’Orange. Un comportement anormal est repéré sur plusieurs terminaux internes. L’information remonte aussitôt à la cellule de crise cybersécurité du groupe. La division dédiée à la sécurité informatique du géant télécoms, prend alors les commandes.

Sans attendre, les ingénieurs enclenchent des procédures d’isolement : segmentation des réseaux affectés, mise hors ligne des machines suspectes, surveillance renforcée des logs. L’objectif est clair : neutraliser la menace avant que celle-ci ne compromette les données sensibles du groupe ou de ses clients.

L’attaque n’a duré que quelques heures. Dès le lendemain, les services essentiels sont rétablis. Mais certaines plateformes de gestion à destination des clients professionnels en France demeurent temporairement inaccessibles. Un désagrément assumé par la direction, qui préfère préserver l’intégrité du système plutôt que risquer une propagation invisible.

Dans un communiqué sobre, Orange confirme l’incident et assure que toutes les mesures nécessaires ont été prises. « Nos équipes ont agi immédiatement pour circonscrire l’attaque. À ce jour, nous n’avons identifié aucune fuite de données ni atteinte à nos infrastructures critiques. […] Une plainte a été déposée et les autorités compétentes ont été alertées. Nous travaillons avec elles en parfaite collaboration.«

Un deuxième incident en six mois

Ce n’est pas la première fois cette année qu’Orange est confronté à une attaque informatique. En février 2025, sa filiale roumaine avait été la cible d’un assaut distinct. Cette attaque avait débouché sur la compromission de données internes, notamment des informations sur des employés, sans toutefois affecter le cœur réseau ni les clients.

Si les deux événements ne sont pas officiellement liés, la répétition soulève des interrogations. Orange est un acteur stratégique, avec 294 millions de clients répartis en Europe, en Afrique et au Moyen-Orient. Sa position dominante en fait une cible naturelle pour des groupes cybercriminels ou des entités aux motivations géopolitiques.

Ce rôle d’opérateur d’importance vitale (OIV), reconnu par les autorités françaises, implique des obligations de sécurité accrues. La CNIL et l’ANSSI sont régulièrement informées des incidents majeurs. À ce titre, Orange a immédiatement déposé plainte le 28 juillet auprès du parquet de Paris, spécialisé en cybercriminalité.

La procédure est désormais bien rodée. Mais si l’attaque de juillet a été contenue sans conséquence visible, elle illustre à quel point les infrastructures télécoms sont aujourd’hui au centre des stratégies d’influence numérique.

Salt Typhoon, l’ombre chinoise derrière l’attaque ?

Aucune revendication officielle n’a été émise. Toutefois, plusieurs spécialistes du renseignement cyber évoquent des similitudes techniques entre cette attaque et celles attribuées au groupe Salt Typhoon, une entité affiliée à l’appareil d’espionnage chinois.

Salt Typhoon, aussi connu sous d’autres noms de code dans les milieux spécialisés (comme RedAlpha ou UNC3886), est identifié depuis 2022 par les agences américaines comme un acteur étatique, ciblant prioritairement les infrastructures critiques, dont les télécoms. Sa méthode ? Exploiter des vulnérabilités non corrigées dans les équipements réseau (souvent Cisco ou Fortinet), établir une persistance invisible, puis siphonner lentement les données ou injecter des outils d’écoute.

En 2024, les États-Unis avaient révélé que neuf grands opérateurs américains avaient été infiltrés par Salt Typhoon. Les intrus avaient notamment accédé aux systèmes légaux d’interceptions, compromettant des milliers de métadonnées d’appels et, potentiellement, des correspondances confidentielles.

En février 2025, le Canada confirmait à son tour qu’un fournisseur télécom national avait été attaqué via une faille Cisco. Là encore, les analyses pointaient vers Salt Typhoon. En mai, c’était au tour d’un acteur du Moyen-Orient d’être visé.

Ce mode opératoire, combiné à l’absence d’intérêt financier manifeste (aucune rançon, aucun ransomware), alimente l’hypothèse d’une opération de renseignement d’envergure. Et si les similarités techniques ne suffisent pas à établir une responsabilité formelle, elles posent une question inquiétante : Orange fait-il désormais partie de la cartographie stratégique de Pékin ?

Le coût invisible de l’espionnage numérique

Une attaque comme celle du 25 juillet ne provoque pas nécessairement de chaos visible. En tout cas pas comme l’a vécu la compagnie aérienne Russe Aeroflot aprés la cyberattaque d’Hacktivistes. Mais son impact réel est plus insidieux. Pendant plusieurs heures, certaines plateformes d’Orange ont été indisponibles. Les clients professionnels, notamment dans le secteur public, ont subi des lenteurs et des interruptions dans la gestion de leurs services.

À plus long terme, l’enjeu est aussi réputationnel. Un opérateur victime de cyberattaques à répétition peut voir la confiance de ses clients et partenaires ébranlée. Dans les appels d’offres internationaux, la solidité des systèmes d’information devient un critère aussi stratégique que la couverture réseau.

Enfin, il y a le risque d’exploitation discrète des données interceptées. Même sans vol de fichiers, une intrusion réussie peut permettre la cartographie de l’infrastructure, l’identification d’interlocuteurs clés, ou l’implantation d’outils dormants, prêts à s’activer lors de crises futures.

merci à ZATAZ