Retour au blog
Hacks célèbresransomwaresupply chain

MOVEit 2023 : comment Cl0p a exploité un zero-day pour toucher 2 500 entreprises

Publié le 2026-04-048 min de lectureFlorian

Le contexte

MOVEit Transfer est un logiciel de transfert de fichiers géré (Managed File Transfer) utilisé par des milliers d'entreprises et d'administrations pour échanger des données sensibles. En mai 2023, le groupe de ransomware Cl0p a exploité une vulnérabilité zero-day dans MOVEit pour lancer une campagne d'extraction de données massive.

La vulnérabilité : CVE-2023-34362

La faille est une injection SQL dans l'application web de MOVEit Transfer. L'endpoint vulnérable permettait à un attaquant non authentifié d'exécuter des requêtes SQL arbitraires sur la base de données du serveur.

La chaîne d'exploitation :

  • L'attaquant envoie une requête HTTP spécialement construite à l'endpoint vulnérable
  • L'injection SQL permet de lire et d'écrire dans la base de données
  • L'attaquant utilise cet accès pour déposer un webshell (human2.aspx) sur le serveur
  • Le webshell fournit un accès persistant pour extraire les fichiers stockés

    • Chronologie de l'attaque

    27 mai 2023 : les premières exploitations sont détectées. Cl0p avait probablement commencé à exploiter la faille avant cette date.

    31 mai 2023 : Progress Software (éditeur de MOVEit) publie un correctif et une alerte de sécurité.

    2 juin 2023 : Microsoft attribue l'exploitation au groupe Cl0p (aussi connu sous le nom de Lace Tempest).

    7 juin 2023 : Cl0p revendique l'attaque sur son site de fuites et commence à publier les noms des victimes.

    Juin à décembre 2023 : la liste des victimes ne cesse de s'allonger. Plus de 2 500 organisations sont touchées, affectant plus de 80 millions de personnes.

    Victimes notables

    L'attaque a touché des organisations dans tous les secteurs : le Département de l'Énergie américain, Shell, British Airways, la BBC, le gouvernement de la Nouvelle-Écosse, des universités, des cabinets d'avocats, des assureurs. En France, plusieurs entreprises utilisant MOVEit pour leurs transferts de données ont été affectées.

    Pourquoi l'impact a été aussi massif

    1. MOVEit est omniprésent : des milliers d'organisations l'utilisent pour échanger des fichiers sensibles (paie, données médicales, documents juridiques).

    2. Les serveurs MOVEit sont exposés sur internet : c'est leur fonction. Un transfert de fichiers géré nécessite un accès réseau externe.

    3. Cl0p a automatisé l'exploitation : le groupe a scanné internet pour identifier tous les serveurs MOVEit vulnérables et a lancé l'exploitation en masse avant que le correctif ne soit disponible.

    4. Les données étaient déjà sur le serveur : MOVEit stocke les fichiers transférés. L'attaquant n'avait pas besoin de pivoter vers d'autres systèmes.

    Leçons

    Les logiciels de transfert de fichiers sont des cibles prioritaires. Ils contiennent des données sensibles et sont exposés sur internet. Ils doivent être audités et mis à jour en priorité.

    L'injection SQL en 2023, c'est inacceptable. CVE-2023-34362 est une injection SQL classique. Les requêtes paramétrées auraient empêché l'exploitation.

    Le patching rapide est vital. Les organisations qui ont appliqué le correctif dans les 48 heures ont limité l'impact. Celles qui ont attendu ont été compromises.

    La détection de webshells doit être active. Le webshell human2.aspx était détectable par une analyse des fichiers sur le serveur.

    Cet incident illustre pourquoi un audit de sécurité régulier de vos services exposés sur internet est indispensable. CleanIssue identifie ces surfaces d'attaque avant les attaquants.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Hacks célèbresAuthentification

    Okta 2022 et 2023 : quand le fournisseur d'identité se fait pirater

    Deux compromissions majeures d'Okta en deux ans. Analyse des vecteurs, de l'impact sur les clients, et des enseignements pour la sécurité des fournisseurs d'identité.

    2026-04-07 · 7 min de lecture
    Hacks célèbressupply chain

    SolarWinds 2020 : l'attaque supply chain qui a tout changé

    Analyse complète de l'attaque SolarWinds Orion par le groupe russe Nobelium : méthode, impact sur 18 000 organisations et leçons pour la sécurité.

    2026-04-05 · 9 min de lecture
    Threat actorsransomware

    Cl0p, LockBit, ALPHV : l'écosystème ransomware moderne en 2026

    Cartographie de l'écosystème ransomware en 2026 : le modèle RaaS, les principaux groupes, leurs tactiques et l'évolution vers l'extorsion pure.

    2026-04-11 · 8 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-04

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit