Égypte : la cyberattaque qui aurait fait 4 morts… ou pas

Le 7 juillet 2025, un incendie éclate dans un centre de télécommunications au Caire. « Quatre travailleurs ont été tués et au moins 22 autres blessés dans un incendie qui s'est déclaré lundi dans un centre de données stratégique au Caire, a déclaré mardi à Reuters Hossam Abdel Ghaffar, porte-parole du ministère égyptien de la Santé », relataient nos confrères le lendemain.

Le bâtiment en question, c’est le Ramses Exchange, un point critique du réseau fixe égyptien : une part significative du trafic télécoms du pays transite par ce bâtiment. Il héberge des commutateurs cœur de réseau de Telecom Egypt et d’autres opérateurs, ainsi que le Cairo Internet Exchange (CAIX).

L’incendie s’est déclenché au septième étage. « Le feu s'est rapidement propagé à travers les conduits de câbles transportant le courant électrique et les données », expliqueront peu après nos confrères d’Ahram Online : « le personnel n'a pas pu maîtriser l'incendie et a appelé les forces de la protection civile à l'aide. Les pompiers sont arrivés vers 17h30, mais le réseau de conduits a contribué à accélérer la propagation du feu ».

Le système d'extinction d'incendie s'est bien déclenché, mais il s’est avéré insuffisant, selon le gouvernement égyptien. Un court-circuit, ou de façon plus générique un dysfonctionnement électrique, serait à l’origine de l’incident.

Mais cinq jours après le drame, le 13 juillet, Devman publiera une revendication tronquée – comme il le fait régulièrement : « www.e***.gov.eg ». Il lèvera le mystère après 48h en revendiquant une attaque contre « eehc.gov.eg ». C’est le nom de domaine de la Egyptian Electricity Holding Company (EEHC) rattachée au ministère de l’Électricité et des Énergies renouvelables.

Dans un échange avec la rédaction, Devman affirme avoir exploité une vulnérabilité dans un équipement Fortinet pour établir son accès initial. Il dit avoir découvert l’incendie via Topor Live, un média russophone sur Telegram, « après que j’ai perdu la connexion VPN ». À ce stade, la moitié de l’infrastructure « avait cessé de répondre aux pings », indique-t-il.

Mais il semble ne pas avoir été seul : Pryx affirme qu’il était à la manœuvre avec lui. Il s’agit d’un ancien de Hellcat. Il travaille actuellement avec HasanBroker à lancer un autre BreachForums. Devman dit connaître Pryx depuis « un certain temps ». Selon ce dernier, cela fait « très très longtemps ».

Pour le Ramses Exchange, Pryx indique que Devman a fourni l’accès VPN : « toute l’opération a été conduite par lui », nous dit-il. « Nous espérions être payés, mais nous avons fini par bruler le bâtiment par erreur », ajoute-t-il. Il vient de publier son témoignage sur l’incident.

Selon ce récit, les pirates avaient « un accès complet aux hôtes Hyper-V, aux contrôleurs de domaine »… ainsi qu’à « tous les systèmes SCADA derrière le NAT ». Et là, « alors que nous étions en train de manipuler le système SCADA, tout le réseau a soudainement cessé de répondre. Il était impossible de le pinguer. Tout s'est figé ».

Selon Pryx, le lien entre le central Ramses et EEGH est en fait technique : « la passerelle VPN, le serveur d'interrogation SCADA et le NMS passaient tous par Ramses, même si la logique SCADA réelle fonctionnait à Abbassia. Tout ce qui était critique passait par cet endroit unique ».

Les captures d’écran associées à son récit apparaissent conforter ses allégations sur l’intrusion et sur l’étendue des systèmes auxquels il a réussi à avoir accès. Mais le déclenchement de l’incendie aurait-il pu n’être que concomitant ? Pour Pryx, non : « je ne pense pas que cela ait pu être une coïncidence ». Même son de cloche du côté de Devman : « honnêtement, je m’en moque, mais je ne pense pas que ce soit une coïncidence ». 

Dans son récit, Pryx fait état d’échanges avec Joe Tidy, de la BBC, à la suite de l’incident. Sollicité par la rédaction, notre confrère confirme leur survenue. Mais il dit soupçonner « une coïncidence extrêmement malheureuse, après avoir recueilli l'avis d'experts tiers », plus qu’un incendie effectivement déclenché par les assaillants.