Incident de cybersécurité du 13 novembre : enseignements et actions engagées

Actualités
Retour aux actualités

Incident de cybersécurité du 13 novembre : enseignements et actions engagées

(English version below)

Introduction

Le 13 novembre 2025, Eurofiber France a détecté un incident de cybersécurité affectant sa plateforme de ticketing utilisée pour la gestion des demandes clients télécoms (Eurofiber France et ses marques régionales Eurafibre, FullSave, Netiwan et Avelia) ainsi que le portail client dédié aux services cloud (Eurofiber Cloud Infra France). Dès la détection, nos équipes ont activé la cellule de crise et mis en œuvre des mesures immédiates pour sécuriser nos systèmes, informer nos clients et partenaires, et assurer la continuité des services.

Contexte stratégique

Dans un environnement où les menaces cyber évoluent constamment, Eurofiber France investit depuis plusieurs années dans des dispositifs avancés de protection et de surveillance. La diversité de nos activités – télécoms, cloud, services managés – implique des environnements complexes et interconnectés. Cet incident, bien que limité, souligne l’importance de notre stratégie de renforcement continu et notre détermination à agir avec rigueur et transparence.

Retour sur l’incident

Les premières traces de l’attaque remontent au 6 novembre, avec une tentative d’injection SQL Blind visant la base de données des utilisateurs. Le 10 novembre, l’exfiltration s’est intensifiée via des appels à l’API REST, ciblant des tickets et des documents.
Le 13 novembre à 14h49, nos systèmes de surveillance ont détecté des anomalies confirmant une activité suspecte. Quelques minutes plus tard, la cellule de crise était activée et nos équipes, accompagnées de notre prestataire SOC, ont engagé une réponse immédiate.

Dès 16h30, une investigation approfondie était en cours et un clonage du serveur a été réalisé pour préserver les preuves et permettre une analyse forensique complète. À 18h15, la vulnérabilité exploitée était corrigée par une mise à jour sécurisée, et le serveur isolé par des règles de filtrage renforcées. Dans les heures suivantes, nous avons procédé à la rotation des mots de passe et des clés API, restreint les accès API aux adresses IP autorisées et mis en place des règles de durcissement supplémentaires.

Cette mobilisation a permis de contenir l’attaque, limiter son impact et enclencher un plan d’action complet dès les premières heures.

Impact et périmètre

L’incident n’a eu aucun impact sur la disponibilité des services, qui sont restés pleinement opérationnels, ni sur l’intégrité des données. En revanche, une perte de confidentialité a été constatée sur certaines informations :

  • Données d’identification (nom, prénom, e-mail, mot de passe haché, téléphone si présent, photo si présente)
  • Contenu des tickets et échanges
  • Pièces jointes (estimées à environ 2 % des tickets les plus anciens)

Il est important de souligner qu’aucune donnée bancaire ou critique n’a été compromise, et que les services cloud et réseaux n’ont jamais été affectés.

Analyse des causes

L’attaque a exploité une vulnérabilité logicielle présente dans la plateforme de ticketing. Cette faille, identifiée par la communauté sous une référence CVE, a permis à l’attaquant de réaliser des injections SQL et d’utiliser des appels API pour exfiltrer des données. Bien que notre processus de gestion des vulnérabilités soit robuste, la version personnalisée utilisée n’avait pas été signalée comme vulnérable par l’éditeur, ce qui a permis l’attaque.

Actions correctives et renforcement durable

À la suite de l’incident, Eurofiber France a déployé un ensemble de mesures techniques et organisationnelles pour renforcer durablement la sécurité des plateformes de ticketing et du portail client. Ces mesures incluent :

  • Authentification multi-facteur obligatoire pour tous les accès administratifs et utilisateurs, afin de réduire les risques liés au vol d’identifiants.
  • Chiffrement des jetons API avec la librairie Sodium, garantissant la confidentialité des échanges entre systèmes et empêchant toute interception.
  • Durcissement des configurations serveur : restriction des accès API aux adresses IP autorisées, rotation des clés API et des mots de passe, mise en place de règles de filtrage avancées.
  • Déploiement d’un pare-feu applicatif (WAF) pour bloquer les tentatives d’injection SQL et filtrer les requêtes malveillantes.
  • Audits de sécurité et tests d’intrusion réguliers pour valider la robustesse des systèmes et identifier proactivement les vulnérabilités.
  • Révision des règles de gestion des données afin de limiter la sensibilité des informations stockées et renforcer la politique de rétention.
  • Surveillance proactive des vulnérabilités avec intégration d’alertes dédiées pour les versions spécifiques fournies par les éditeurs.

Ces actions sont désormais intégrées dans notre politique de sécurité et s’inscrivent dans notre démarche continue de protection des données.

Enseignements et perspectives

Cet incident nous rappelle que la cybersécurité est un processus continu et collectif, et fait partie d’une stratégie couvrant l’ensemble de nos infrastructures pour anticiper les menaces et garantir leur résilience. Nous avons renforcé nos audits, amélioré nos procédures internes et consolidé notre collaboration avec les autorités et nos partenaires. Ces actions s’inscrivent dans une stratégie globale visant à anticiper les menaces et garantir la résilience de nos infrastructures.

Conclusion

Cet incident démontre une réalité incontournable : la cybersécurité n’est pas une option et les attaques ne concernent pas uniquement les autres. Dans un contexte où les menaces évoluent sans cesse, chaque organisation doit se préparer, investir et s’adapter. Chez Eurofiber France, nous faisons de cette exigence une priorité absolue, pour protéger vos données et garantir la continuité de vos services.

Pour toute question ou assistance, nos équipes restent à votre disposition.

 

 

Cybersecurity Incident of November 13: Lessons learned and actions taken

Introduction

On November 13, 2025, Eurofiber France detected a cybersecurity incident affecting its ticketing system used for managing telecom customer requests (by Eurofiber France and its regional brands Eurafibre, FullSave, Netiwan et Avelia) as well as the customer portal dedicated to cloud services (Eurofiber Cloud Infra France). Upon detection, our teams activated the incident unit and implemented immediate measures to secure our systems, inform our customers and partners, and ensure service continuity.

Strategic context

In an environment where cyber threats are constantly evolving, Eurofiber France has been investing for several years in advanced protection and monitoring systems. The diversity of our activities—telecom, cloud, managed services—implies complex and interconnected environments. This incident, although limited, underscores the importance of our strategy of continuous strengthening and our determination to act with rigor and transparency.

Incident review

The first traces of the attack date back to November 6, with a Blind SQL injection attempt targeting the user database. On November 10, data exfiltration intensified through REST API calls, targeting tickets and documents.
On November 13 at 2:49 PM, our monitoring systems detected anomalies confirming suspicious activity. Minutes later, the crisis unit was activated, and our teams, supported by our SOC provider, initiated an immediate response.
By 4:30 PM, an in-depth investigation was underway, and the server was cloned to preserve evidence and enable a full forensic analysis. At 6:15 PM, the exploited vulnerability was patched through a security update, and the server was isolated with reinforced filtering rules. In the following hours, we rotated passwords and API keys, restricted API access to authorized IP addresses, and implemented additional hardening rules.
This mobilization allowed us to contain the attack, limit its impact, and launch a comprehensive action plan within the first hours.

Impact and scope

The incident had no impact on service availability, which remained fully operational, nor on data integrity. However, a loss of confidentiality was observed for certain information:

  • Identification data (name, first name, email, hashed password, phone if present, photo if present)
  • Ticket content and exchanges
  • Attachments (estimated at about 2% of the oldest tickets)

It is important to note that no banking or critical data was compromised, and cloud and network services were never affected.

Root cause analysis

The attack exploited a software vulnerability in the ticketing system. This flaw, identified by the community under a CVE reference, allowed the attacker to perform SQL injections and use API calls to exfiltrate data. Although our vulnerability management process is robust, the specific custom version used had not been flagged as vulnerable by the vendor, which enabled the attack to occur.

Corrective actions and long-term reinforcement

Following the incident, Eurofiber France deployed a set of technical and organizational measures to strengthen the security of the ticketing systems and customer portal sustainably. These measures include:

  • Mandatory multi-factor authentication for all administrative and user access to reduce risks related to credential theft.
  • Encryption of API tokens using the Sodium library, ensuring confidentiality of system exchanges and preventing interception.
  • Server configuration hardening: restricting API access to authorized IP addresses, rotating API keys and passwords, implementing advanced filtering rules.
  • Deployment of a Web Application Firewall (WAF) to block SQL injection attempts and filter malicious requests.
  • Regular security audits and penetration tests to validate system robustness and proactively identify vulnerabilities.
  • Revision of data management rules to limit the sensitivity of stored information and strengthen retention policies.
  • Proactive vulnerability monitoring with dedicated alerts for specific versions provided by vendors.

These actions are now integrated into our security policy and form part of our ongoing data protection approach.

Lessons learned and outlook

This incident reminds us that cybersecurity is a continuous and collective process. We have strengthened our audits, improved internal procedures, and consolidated our collaboration with authorities and partners. These actions are part of a strategy covering all our infrastructures, aimed at anticipating threats and ensuring their resilience.

Conclusion

This incident demonstrates an undeniable reality: cybersecurity is not optional, and attacks do not only happen to others. In a context where threats are constantly evolving, every organization must prepare, invest, and adapt. At Eurofiber France, we make this requirement an absolute priority to protect your data and ensure the continuity of your services.

For any questions or assistance, our teams remain at your disposal.