Depuis la fin août 2025, la communauté cybersécurité est en alerte. Une faille critique, référencée CVE-2025-57819, frappe de plein fouet FreePBX, l’une des solutions de téléphonie IP open-source les plus utilisées au monde. Les chercheurs en sécurité tirent la sonnette d’alarme : la vulnérabilité est déjà exploitée par des cybercriminels, et son niveau de gravité a été évalué au maximum, avec un score CVSS de 10.0.
Une faille qui ouvre toutes les portes
Le problème touche le module Endpoint Manager, un composant commercial qui permet de gérer les téléphones connectés à FreePBX. Dans ses versions non corrigées, cette faille permet à un attaquant de contourner les mécanismes d’authentification, de manipuler la base de données et, pire encore, d’exécuter du code directement sur le serveur. En d’autres termes, un pirate peut prendre le contrôle total d’un système vulnérable.
Ce qui rend la situation particulièrement inquiétante, c’est que FreePBX est largement déployé dans les PME, les centres d’appels et de nombreux environnements critiques. Derrière une compromission, ce n’est pas seulement la disponibilité des appels qui est menacée, mais aussi la confidentialité des communications et l’intégrité des systèmes d’information connectés.
Une exploitation déjà en cours
Les premières attaques ont été observées dès le 21 août 2025. Les pirates cherchent à installer des portes dérobées pour garder un accès permanent aux serveurs compromis. Ils modifient des fichiers sensibles, déposent des scripts dans l’arborescence web et utilisent des extensions détournées pour générer des appels frauduleux. Plusieurs signes compromettants ont déjà été remontés par des administrateurs : disparition de fichiers critiques, création de comptes administrateurs inconnus ou encore pics anormaux d’appels sortants.
Course contre la montre pour les correctifs
Face à l’urgence, Sangoma, l’éditeur de FreePBX, a publié en quelques jours des correctifs pour les versions 15, 16 et 17 du logiciel. La CISA américaine a classé CVE-2025-57819 dans son catalogue des vulnérabilités activement exploitées (KEV) et impose aux agences fédérales de corriger leurs systèmes avant le 19 septembre. C’est un signal fort : l’exploitation est réelle, et le risque est jugé suffisamment critique pour déclencher une obligation de patch à l’échelle nationale.
Un rappel brutal pour les entreprises
Au-delà de la simple mise à jour logicielle, cet incident rappelle à quel point il est dangereux de laisser exposées sur Internet des interfaces d’administration. Beaucoup d’organisations se contentent d’installer FreePBX “par défaut”, sans cloisonner l’accès ni surveiller les connexions. Or, un serveur VoIP n’est pas qu’un outil de communication : c’est aussi une porte d’entrée vers le reste du système d’information.
Conclusion
Le Zero-day CVE-2025-57819 est une piqûre de rappel sévère pour toutes les entreprises qui s’appuient sur FreePBX. La menace n’est pas théorique : elle est déjà exploitée, et chaque jour qui passe augmente le risque de compromission. La seule réponse efficace est claire : appliquer les correctifs sans attendre, restreindre l’accès aux consoles d’administration et renforcer la surveillance des systèmes.
Dans un contexte où la téléphonie IP est devenue un maillon central des infrastructures, cette faille démontre une nouvelle fois que la cybersécurité ne peut plus être un sujet secondaire, mais bien une exigence vitale.
