L’éditeur de logiciels SmarterTools a confirmé avoir été victime d’une cyberattaque orchestrée par le groupe de ransomware Warlock. Pour s’introduire sur leur réseau, les pirates ont exploité une faille de sécurité dans SmarterMail, un logiciel développé directement par SmarterTools.

Shadow IT : une machine virtuelle oubliée comme porte d’entrée

Cet incident de sécurité est directement lié à la faille de sécurité critique CVE-2026-23760 découverte récemment dans SmarterMail. Cette solution éditée par SmarterTools et qui permet de bénéficier d’un serveur de messagerie était justement exécutée sur une trentaine de serveurs sur l’infrastructure de l’éditeur. Ces machines ont été mises à jour pour patcher la faille critique, sauf une seule mise en place par un employé, et non répertoriée.

C’est elle qui est à l’origine de l’intrusion du 29 janvier 2026, comme l’explique Derek Curtis, le directeur commercial de l’entreprise : “Malheureusement, nous n’avions pas connaissance d’une VM, configurée par un employé, qui n’était pas mise à jour. En conséquence, ce serveur de messagerie a été compromis, ce qui a conduit à la brèche.” – Un scénario qui met en lumière les risques du Shadow IT.

Suite à la compromission du serveur SmarterMail, les pirates ont effectué des mouvements latéraux via l’Active Directory. Au total, 12 serveurs Windows ont été compromis, tandis que l’infrastructure Linux (qui représente la majeure partie du parc) a été épargnée. Les données des clients et les applications n’ont pas été affectées non plus, contrairement à l’espace dédié aux tests et aux contrôles qualité.

“En conséquence, nos réseaux ont considérablement changé. Nous avons supprimé Windows de nos réseaux dans la mesure du possible et nous n’utilisons plus les services Active Directory. Dans ces scénarios, notre politique consiste également à remplacer tous les mots de passe de notre réseau.”, peut-on lire.

Quant à la CVE-2026-23760, il s’agit d’une vulnérabilité critique permettant de contourner l’authentification de SmarterMail. En effet, en l’exploitant, un attaquant peut réinitialiser le mot de passe administrateur et obtenir des privilèges complets sur le serveur. Cette vulnérabilité affecte les versions de SmarterMail antérieures à la Build 9518.

Une attaque orchestrée par le gang de ransomware Warlock

Cette attaque a été attribuée au groupe de ransomware Warlock, associé également au nom Storm-2603 qui cache un groupe de cybercriminels soutenu par l’État chinois. Dans le cadre de leur attaque, ils utilisent des outils d’administration et de forensic légitimes, ce qui leur permet de rester sous les radars plus facilement.

Dans le cas de SmarterTools, les pirates ont déployé Velociraptor, un outil open source de réponse aux incidents (DFIR), ainsi que le logiciel de prise en main à distance SimpleHelp. L’application WinRAR a également été utilisée.

Si les attaquants ont tenté de chiffrer les machines après une semaine de présence sur le réseau local, leur tentative a échoué. En effet, les solutions de sécurité SentinelOne ont bloqué la charge utile finale avant qu’elle ne puisse chiffrer les données.

Enfin, il est à noter que SmarterTools n’est pas la seule victime : cette faille de sécurité est activement exploitée par les cybercriminels. D’ailleurs, le 26 janvier 2026, l’agence CISA a ajoutée cette menace à son catalogue KEV qui référence les vulnérabilités connues et exploitées.

Source