En résumé. Des groupes de rançongiciel se servent d'une faille des équipements Citrix NetScaler, baptisée Citrix Bleed 2, comme porte d'entrée vers les réseaux d'entreprise. Si votre PME utilise un accès distant Citrix, un correctif et quelques vérifications suffisent souvent à refermer la porte.
Ce qui s'est passé
Un rapport publié cette semaine par la société de sécurité Arctic Wolf, repris le 3 juillet par The Hacker News, décrit comment les affiliés du rançongiciel Anubis exploitent la faille Citrix Bleed 2 (référence CVE-2025-5777) pour obtenir un premier accès aux réseaux visés. La faille touche les boîtiers NetScaler ADC et Gateway, que beaucoup d'entreprises utilisent pour ouvrir un accès distant à leurs applications. Une requête bien construite vers la page d'authentification de l'équipement permet, dans certains cas, de récupérer des jetons de session valides et de se connecter comme un utilisateur légitime.
Une fois dans la place, les attaquants avancent discrètement. Ils installent des outils d'administration à distance courants comme ScreenConnect, Zoho Assist ou UltraVNC, difficiles à distinguer d'une gestion réseau normale. Dans un cas observé, l'installeur venait d'un domaine nommé azuremicrosoft[.]us, conçu pour imiter les services Microsoft Azure. Les affiliés désactivent ensuite la protection en temps réel de Windows Defender, suppriment les agents de sécurité, puis déclenchent le chiffrement en moins d'une journée. Certains effacent même des fichiers de façon irréversible.
Selon la plateforme Ransomware.Live, la France figure parmi les pays les plus touchés par Anubis, derrière les États-Unis et le Royaume-Uni. Le même rapport signale d'autres groupes qui montent en puissance, dont The Gentlemen, qui exploite une faille dans un pilote tiers pour couper les antivirus, d'après les analyses de Kaspersky et d'Expel. Rien n'indique pour l'instant une campagne visant spécifiquement les PME françaises, mais la technique est documentée et reproductible.
Suis-je concerné ?
La première question est simple : votre entreprise utilise-t-elle un équipement Citrix NetScaler ADC ou Gateway pour l'accès distant, souvent mis en place pour le télétravail ou pour ouvrir une application métier à l'extérieur ? Si la réponse est non, cette faille précise ne vous concerne pas directement, et vous pouvez traiter le sujet comme une piqûre de rappel.
Si la réponse est oui, ou si vous n'en êtes pas certain, vous entrez dans le périmètre à vérifier. Le risque ne dépend pas de votre taille mais de votre exposition : un seul boîtier NetScaler non corrigé, accessible depuis Internet, suffit à donner un point d'entrée. Les PME et ETI qui ont délégué leur infrastructure à un prestataire sont concernées elles aussi, car la responsabilité de la mise à jour doit être clairement attribuée. Un doute sur qui gère quoi est en soi un signal à traiter.
Que faire maintenant
1. Confirmez la présence d'un NetScaler et son niveau de correctif. Demandez à votre équipe IT ou à votre infogéreur si un boîtier Citrix NetScaler ADC ou Gateway est en service, et s'il tourne sur une version corrigée contre CVE-2025-5777. Citrix a publié les correctifs il y a déjà plusieurs mois. Si le vôtre n'est pas à jour, c'est la priorité numéro un.
2. Coupez les sessions actives après la mise à jour. Appliquer le correctif ne suffit pas si des jetons de session ont déjà été volés. Après la mise à jour, mettez fin aux sessions ICA et PCoIP en cours pour invalider d'éventuels accès déjà récupérés par un attaquant.
3. Cherchez les traces d'intrusion et renforcez l'accès. Repérez tout outil d'administration à distance non prévu (ScreenConnect, Zoho Assist, UltraVNC), tout domaine suspect qui imite Microsoft, et toute désactivation inexpliquée de Windows Defender. Activez l'authentification à plusieurs facteurs sur l'accès distant si ce n'est pas déjà fait. Ce triage rejoint les mesures attendues par la directive NIS2 pour les entreprises concernées.
Un doute sur votre exposition ?
Faites le point avec un expert IT Systèmes
Audit rapide de votre exposition et des réflexes à mettre en place. Sans engagement.
En bref
Citrix Bleed 2 n'est pas une faille théorique : des groupes de rançongiciel s'en servent aujourd'hui pour entrer dans les réseaux, et la France fait partie des cibles. Le bon réflexe n'est pas de tout arrêter, mais de vérifier un point précis : vos accès distants Citrix sont-ils à jour et vos sessions bien coupées ? Une infrastructure suivie et corrigée dans les temps rend ce type d'attaque beaucoup plus difficile.
Questions fréquentes
Je n'ai pas de Citrix, suis-je à l'abri ? Pour cette faille précise, oui. Mais la même logique d'intrusion vaut pour tout accès distant exposé (VPN, portail applicatif) : la mise à jour régulière reste la meilleure protection.
Mon infogéreur gère mes serveurs, dois-je faire quelque chose ? Un message suffit : demandez-lui de confirmer par écrit que vos équipements NetScaler sont corrigés contre CVE-2025-5777 et que les sessions ont été réinitialisées.
Faut-il payer si on est touché ? Non. Le paiement ne garantit rien, et certains de ces groupes détruisent les fichiers même après réception de la rançon. Sauvegardes testées et signalement restent la bonne route.
— Samir Amara, CEO — IT Systèmes



