Le client de messagerie Roundcube, figurant notamment sur la liste des logiciels recommandés par l’État français pour les administrations, est touché par des failles de vulnérabilité XSS (cross-site scripting, une technique d'injection de code malveillant) depuis plusieurs mois.
En octobre 2023, des pirates informatiques, opérant pour les intérêts de la Russie et de la Biélorussie, en ont profité pour cibler plus de 80 organisations en Europe et Asie centrale, a expliqué le 16 février la société de cybersécurité Recorded Future. Cette dernière avait déjà rendu publique la campagne de cyberespionnage, sans informations sur les organisations touchées.
Sept pays européens ciblés
Le groupe de hackers derrière cette opération, connu sous le nom de Winter Vivern, a surtout visé les serveurs de messagerie militaire et de gouvernement en Ukraine (31% des victimes), en Géorgie (14%) et en Pologne (12%). Mais aussi, dans une moindre mesure, en France, en Belgique, au Royaume-Uni, en Allemagne et en République tchèque. Recorded Future a relié cette campagne à une autre activité contre les serveurs de messagerie du gouvernement ouzbek, en février 2023.
En exploitant des vulnérabilités XSS de Roundcube, les espions de Winter Vivern ont obtenu un accès non autorisé aux serveurs de messageries et ont pu échapper aux contrôles de sécurité des gouvernements et organisations militaires. Avec des attaques zero-day (nécessitant simplement l’ouverture d’un e-mail infecté), ils ont injecté du code JavaScript malveillant, avant de lister et exfiltrer du contenu des boîtes mail des victimes. Ils ont obtenu des renseignements sur les activités politiques et militaires de pays européens, avec l’objectif de créer “des avantages stratégiques ou de saper la sécurité et les alliances européennes”.
Des acteurs gouvernementaux et militaires, mais aussi dans les transports et la recherche
Les cyberespions ont “principalement ciblé les serveurs de messagerie web gouvernementaux et militaires, explique Recorded Future. Cependant, le groupe a également ciblé les secteurs des transports et de l’éducation, ainsi que les organisations de recherche en chimie et en biologie.” Actif depuis décembre 2020, Winter Vivern a également été impliqué dans l’utilisation abusive d’une faille de vulnérabilité – désormais corrigée – du client de messagerie Zimbra, en vue d’infiltrer certaines organisations en Moldavie et Tunisie.
Les services de messagerie web sont fréquemment pris pour cible par les pirates russes. En juin 2023, un autre groupe de hackers, Fancy Bear ou APT28, avait ciblé l’infrastructure Roundcube en Ukraine. D’autres cyberattaquants russes, comme Sandworm ou Midnight Blizzard, ont aussi visé des solutions de messagerie dans des campagnes précédentes. En outre, Recorded Future a découvert que Winter Vivern avait attaqué les ambassades iraniennes en Russie et aux Pays-Bas, tout comme l’ambassade géorgienne en Suède et le ministère géorgien de la Défense.
Afin de limiter l’impact des attaques du groupe de cyberespions dans l’infrastructure Roundcube, la société de cybersécurité conseille de vérifier que toutes les mises à jour soient bien installées. Elle met également à disposition une liste d’“indicateurs de compromission”, soit des noms de domaine et adresses IP suspects qu’elle a repéré.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
