Intrusion au KCNSC : des serveurs SharePoint non corrigés exploités pour pénétrer une installation sensible

Résumé de l’incident

Le Kansas City National Security Campus (KCNSC), une installation gérée par Honeywell qui fabrique la majorité des composants non nucléaires de l’arsenal américain, a subi une intrusion liée à l’exploitation de failles connues dans Microsoft SharePoint. Le département de l’Énergie (DOE) avait d’abord minimisé l’impact, mais des sources confirment l’accès non autorisé.

Comment l’attaque a été menée

L’attaque a exploité deux vulnérabilités critiques de Microsoft SharePoint affectant des serveurs sur site : CVE-2025-53770 et CVE-2025-49704. Microsoft a publié les correctifs le 19 juillet, mais l’installation n’avait pas appliqué ces mises à jour au moment de l’attaque, qui a eu lieu fin juillet.

La découverte de l’intrusion a entraîné une intervention fédérale en août, incluant la NSA, pour répondre et analyser l’incident. Le DOE a initialement évoqué un impact  » minimal  » en s’appuyant sur l’utilisation du cloud M365, mais la présence de serveurs locaux vulnérables a permis la brèche.

Attribution : incertaine entre acteurs étatiques et criminels

• Microsoft a relié une vague d’attaques SharePoint à des groupes liés à la Chine, notamment  » Linen Typhoon  » et  » Violet Typhoon « , qui auraient exploité ces failles.
• Une source impliquée dans la réponse à l’incident au KCNSC a indiqué qu’un acteur russe pourrait être responsable.
• Des experts notent qu’un groupe chinois a pu découvrir la vulnérabilité, tandis que des acteurs russes – y compris des cybercriminels – auraient été capables de la reproduire rapidement, parfois pour des motifs financiers.

Risques pour les systèmes de production (OT)

L’intrusion a ciblé principalement les systèmes informatiques de bureau (IT). Les systèmes opérationnels (OT) qui commandent machines, robotique et assemblage de précision sont probablement isolés ( » air-gapped « ), mais cette isolation n’est jamais totalement absolue.

Les experts soulignent que l’accès à l’IT peut être la première étape vers un mouvement latéral vers l’OT. Des conséquences possibles incluent le sabotage de la production, le vol de plans de fabrication ou l’altération de tolérances – des dommages potentiellement physiques ou stratégiques, même sans exfiltration d’informations classifiées.

Foire aux questions

• L’usine fabrique-t-elle des armes nucléaires ?

  Non. Le KCNSC produit et assemble environ 80 % des composants non nucléaires (mécaniques, électroniques, etc.) de l’arsenal. Il n’y a pas de matière nucléaire sur le site.

• Les failles ont-elles été corrigées ?

  Microsoft a publié des correctifs le 19 juillet pour CVE-2025-53770 et CVE-2025-49704. Le problème ici est que ces correctifs n’avaient pas été appliqués sur les serveurs locaux du KCNSC avant l’attaque – une situation dite  » N-day « , où une vulnérabilité connue reste non patchée dans certains environnements.

• Des données classifiées ont-elles été volées ?

  Après enquête, la NNSA a déclaré qu’aucune information sensible ou classifiée n’avait été compromise. Toutefois, des experts rappellent que des données non classifiées – comme des tolérances de fabrication ou des listes de fournisseurs – ont une valeur stratégique significative pour un adversaire.

Enjeux et suite

L’incident met en lumière la difficulté de maintenir à jour des infrastructures hétérogènes mêlant cloud et serveurs sur site, ainsi que les risques posés par des vulnérabilités connues non corrigées. Il montre aussi la complexité de l’attribution dans le cyberespace, où plusieurs acteurs peuvent exploiter la même faille pour des objectifs différents.

Les autorités continueront probablement les investigations pour préciser l’origine exacte de l’attaque et renforcer les mesures de sécurité autour des interfaces entre IT et OT.