La Cour Pénale Internationale déplore une nouvelle attaque « ciblée et sophistiquée »

La Cour Pénale Internationale (CPI) vient de publier un communiqué de presse, ce lundi 30 juin, indiquant avoir « détecté un nouvel incident de cybersécurité sophistiqué et ciblé » en fin de semaine dernière.

Dans son communiqué, la CPI précise qu’il s’agit du « deuxième [incident] de ce type » au cours de « ces dernières années » et qu’il « a été rapidement découvert, confirmé et maîtrisé grâce aux mécanismes d’alerte et d’intervention de la Cour. Une analyse d’impact à l’échelle de la Cour est en cours et des mesures sont déjà prises pour atténuer les effets de l’incident ».

Mi-septembre 2023, la CPI avait effectivement indiqué faire l’objet d’une cyberattaque. Un mois plus tard, elle relevait que les « indices disponibles à ce stade indiquent une attaque ciblée et sophistiquée avec l’espionnage pour objectif ». Selon elle, « l’attaque peut être interprétée comme une tentative sérieuse de pénaliser le mandat de la Cour ». 

Citrix avait un peu plus tôt levé le voile sur la vulnérabilité CVE-2023-4966, dite « CitrixBleed », tandis que Mandiant avait indiqué qu’elle était exploitée activement depuis au moins la fin août 2023, alors qu’elle était inconnue, et vraisemblablement à fin d’espionnage. 

La CPI exploitait alors un système Citrix Gateway qui avait été affecté par cette vulnérabilité. Il n’avait pas été visible des sondes d’Onyphe du 15 septembre au 19 octobre 2023. 

Nous avions alors demandé à la CPI si cette vulnérabilité avait effectivement été exploitée contre son système d’information. Son service de relations publiques n’a toujours ni confirmé ni infirmé cette hypothèse.

Selon les données d’Onyphe, la CPI exploite toujours un système Citrix Gateway. Ce dernier n’a pas répondu aux sondes du spécialiste français de la gestion de la surface d’attaque exposée (EASM) les 24 et 25 juin derniers.

Hasard du calendrier ou pas, « CitrixBleed » est récemment revenue en version 2, sous la référence CVE-2025-5777. Et elle n’est pas moins critique. Si le tocsin a été largement sonné à son sujet à partir du 24 juin dernier, elle était connue avant cela. L’expert Kevin Beaumont la mentionnait déjà le 20 juin, invitant alors les clients de Citrix à appliquer sans tarder les correctifs disponibles depuis… la veille.

Reste qu’appliquer les correctifs n’est pas suffisant dans ce cas : il est nécessaire, en plus, de fermer toutes les sessions ICA et PCoIP actives après application des corrections disponibles.

Sans cela, ces sessions seraient alors susceptibles d’être détournées par des acteurs malveillants, malgré l’installation des mises à jour correctives. C’est ce qui s’est produit avec CitrixBleed, première du nom.

Sollicitée par nos soins, la CPI s’est contentée d’indiquer laconiquement « qu’il n’y a pas plus d’information que nous puissions communiquer à ce moment sur ce sujet ».