Le 29 janvier 2026, Ivanti a divulgué deux zero-days critiques affectant Endpoint Manager Mobile (EPMM) : CVE-2026-1340 et CVE-2026-1281, tous deux notés CVSS 9.8 sur 10. Ces failles permettent à un attaquant non authentifié d’exécuter du code arbitraire sur le serveur EPMM, ouvrant la voie à une compromission totale de la plateforme de gestion des appareils mobiles d’une organisation. L’exploitation était déjà active avant la publication des correctifs, qualifiant ces failles de vrais zero-days. La Cybersecurity and Infrastructure Security Agency (CISA) a imposé aux agences fédérales américaines un délai de remédiation de seulement 3 jours, une réaction qui illustre le niveau de danger exceptionnel de cette vulnérabilité. Unit 42, la division de renseignement sur les menaces de Palo Alto Networks, a documenté une campagne d’exploitation “généralisée” ciblant cinq secteurs critiques dans quatre pays, dont l’Allemagne, seul pays européen nommément cité dans le rapport initial.
Cinq mois après la divulgation, l’analyse complète de la campagne d’exploitation livre des enseignements essentiels pour les équipes de sécurité européennes. CVE-2026-1340 n’est pas une faille isolée : elle s’inscrit dans un historique préoccupant de vulnérabilités critiques affectant les produits Ivanti depuis 2023. Ce schéma répété, combiné à la nature sensible des données gérées par EPMM (profils mobiles, certificats d’entreprise, accès réseau), fait d’Ivanti une cible de premier choix pour les acteurs malveillants étatiques et criminels.
La menace en chiffres : anatomie de CVE-2026-1340
CVE-2026-1340 est une vulnérabilité d’injection de code pré-authentification dans la fonctionnalité de configuration du transfert de fichiers Android (Android File Transfer Configuration) d’Ivanti EPMM. Le score CVSS v3.1 de 9.8 reflète une combinaison de facteurs aggravants : aucune authentification requise, aucune interaction utilisateur nécessaire, vecteur d’attaque réseau accessible depuis Internet, et impact maximal sur la confidentialité, l’intégrité et la disponibilité du système.
Le vecteur d’attaque repose sur une requête HTTP GET malformée envoyée vers le chemin /mifs/c/aftstore/fob/ exposé par le serveur EPMM. La logique de traitement de cette requête intègre une construction non sécurisée de commandes shell (Bash), permettant à l’attaquant d’injecter des commandes arbitraires qui s’exécutent avec les privilèges du processus EPMM, généralement root. L’attaque ne nécessite aucun accès préalable au système cible, aucune connaissance de l’environnement, et peut être automatisée et scalée en quelques secondes.
Les conséquences d’une exploitation réussie sont dévastatrices. Ivanti EPMM est le hub de gestion de l’ensemble du parc mobile d’entreprise : il contient les profils de configuration déployés sur des milliers d’appareils, les certificats d’accès aux réseaux Wi-Fi et VPN d’entreprise, les politiques de sécurité, les clés d’API, et les identifiants de connexion aux ressources internes. Un attaquant qui compromet le serveur EPMM dispose d’un point de pivot idéal pour pénétrer l’infrastructure d’entreprise via les appareils mobiles gérés.
Versions EPMM affectées et statut des correctifs
CVE-2026-1340 affecte exclusivement les installations on-premises d’Ivanti EPMM. Les solutions hébergées dans le cloud (Ivanti Neurons for MDM, Ivanti Sentry) ne sont pas concernées. Ivanti a initialement publié des correctifs RPM (hotfixes) pour chaque branche affectée le 29 janvier 2026, avant de livrer un correctif permanent intégré dans la version 12.8.0.0 au cours du premier trimestre 2026.
| Branche EPMM | Versions affectées | Statut du correctif | Risque résiduel |
|---|---|---|---|
| 12.5.x | 12.5.0.0 et antérieures | RPM hotfix disponible | Patch non survivant aux upgrades |
| 12.5.1.x | 12.5.1.0 et antérieures | RPM hotfix disponible | Patch non survivant aux upgrades |
| 12.6.x | 12.6.0.0 et antérieures | RPM hotfix disponible | Patch non survivant aux upgrades |
| 12.6.1.x | 12.6.1.0 et antérieures | RPM hotfix disponible | Patch non survivant aux upgrades |
| 12.7.x | 12.7.0.0 et antérieures | RPM hotfix disponible | Patch non survivant aux upgrades |
| 12.8.x | Non affectées | Correctif permanent intégré | Aucun |
| Ivanti Neurons for MDM | Non affectées (cloud) | N/A | Aucun |
| Ivanti Sentry | Non affectées | N/A | Aucun |
CVE-2026-1281 : la faille jumelle tout aussi critique
Divulguée le même jour que CVE-2026-1340, CVE-2026-1281 affecte une fonctionnalité différente d’Ivanti EPMM : le système de distribution d’applications internes (In-House Application Distribution). Son score CVSS est identique : 9.8. Le vecteur d’attaque cible cette fois les requêtes HTTP vers le chemin /mifs/c/appstore/fob/.
La CISA a officiellement ajouté CVE-2026-1281 à son catalogue KEV (Known Exploited Vulnerabilities) le 29 janvier 2026, le jour même de la divulgation par Ivanti. Ce délai nul entre divulgation et inscription au KEV est rare : il témoigne que l’exploitation active avait déjà été confirmée par des agences de renseignement avant la publication officielle. La présence simultanée de deux failles CVSS 9.8 dans le même produit, exploitées de façon concomitante, suggère une campagne d’attaque sophistiquée et planifiée, et non une exploitation opportuniste.
Les deux vulnérabilités partagent la même cause racine : une construction non sécurisée de commandes Bash dans la logique de traitement de requêtes HTTP. Cette similarité indique que lors de l’audit de sécurité qui a mené à la correction, Ivanti a identifié le même défaut dans deux composants distincts. Pour les équipes de sécurité, cela soulève une question importante : combien d’autres fonctionnalités d’EPMM partagent le même pattern vulnérable ?
La CISA impose un délai de 3 jours : ce que cela signifie
L’inscription de CVE-2026-1281 au catalogue KEV de la CISA le 29 janvier 2026 a déclenché automatiquement les obligations de la directive opérationnelle contraignante BOD 22-01, qui impose aux agences civiles fédérales américaines de remédier à toute faille KEV dans les délais prescrits. La CISA a fixé la date limite de correction au 1er février 2026, soit seulement 3 jours après la divulgation.
Selon les analystes de Rapid7 : “La CISA a accordé aux agences fédérales un délai de remédiation de seulement 3 jours, avec obligation de déconnecter du réseau tout appareil vulnérable non corrigé à cette échéance. Ce calendrier, parmi les plus courts jamais observés dans l’application de la directive BOD 22-01, reflète le niveau de risque exceptionnel évalué par les agences de renseignement américaines.”
Cette urgence s’explique par le profil des organisations utilisant Ivanti EPMM : gouvernements locaux et fédéraux, hôpitaux, entreprises de défense, infrastructures critiques. Un accès non autorisé au serveur EPMM dans ces environnements pourrait permettre l’exfiltration de données classifiées, la compromission de réseaux sécurisés, ou le contrôle d’appareils mobiles utilisés par des agents gouvernementaux. La réaction de la CISA n’est pas une précaution de routine : c’est une réponse à une menace active sur des cibles à haute valeur.
Pour les organisations européennes, aucune obligation réglementaire équivalente à la BOD 22-01 n’existe à ce jour au niveau de l’UE. Cependant, la directive NIS2, transposée en droit français, impose aux opérateurs d’importance vitale (OIV) et aux opérateurs de services essentiels (OSE) de gérer les vulnérabilités critiques dans des délais appropriés. Une faille CVSS 9.8 exploitée dans la nature constitue clairement une situation d’urgence au sens des exigences NIS2.
Unit 42 documente une exploitation “généralisée” dans 4 pays
Unit 42, la division de renseignement sur les menaces de Palo Alto Networks, a suivi la campagne d’exploitation de CVE-2026-1340 et CVE-2026-1281 du 29 janvier au 24 mars 2026, date à laquelle l’équipe a clos son monitoring actif de la campagne. Les conclusions publiées décrivent une exploitation qu’Unit 42 qualifie de “généralisée”, contrastant avec la communication initiale d’Ivanti évoquant “un nombre très limité de clients” affectés.
Les chercheurs d’Unit 42 ont déclaré : “Notre analyse confirme que l’exploitation de CVE-2026-1340 et CVE-2026-1281 est généralisée et touche plusieurs secteurs critiques dans plusieurs pays, dont l’Allemagne, les États-Unis, l’Australie et le Canada. Les attaquants déploient systématiquement des web shells sur les serveurs EPMM compromis, assurant une persistance post-exploitation qui permet des accès répétés même après l’application des correctifs temporaires.”
Le déploiement de web shells est particulièrement préoccupant. Un web shell est un script malveillant déposé sur le serveur compromis, permettant à l’attaquant d’exécuter des commandes à distance via des requêtes HTTP ordinaires, rendant la détection difficile dans les flux réseau légitimes. Sa présence sur un serveur EPMM signifie que l’attaquant maintient un accès persistant indépendamment du statut du patch : corriger la vulnérabilité initiale ne suffit pas à éliminer un adversaire déjà présent dans le système.
L’analyse des chemins d’attaque révèle que les acteurs de la menace ont ciblé en priorité les serveurs EPMM accessibles directement depuis Internet, sans VPN ni contrôle d’accès réseau intermédiaire. Cette exposition directe, courante dans les déploiements qui permettent aux équipes IT de gérer les appareils mobiles à distance, constitue le facteur de risque principal. Les serveurs EPMM protégés derrière des contrôles d’accès réseau stricts n’ont pas été concernés par cette vague d’exploitation.
Cinq secteurs critiques ciblés par les attaquants
Unit 42 a identifié cinq secteurs d’activité prioritairement visés par la campagne d’exploitation de CVE-2026-1340 dans les quatre pays documentés. Cette répartition sectorielle éclaire la nature des acteurs derrière la campagne : les cibles ne sont pas choisies au hasard, mais correspondent à des organisations susceptibles de détenir des données de haute valeur ou d’offrir un accès à des infrastructures stratégiques.
- Gouvernements locaux et régionaux : les administrations territoriales utilisent massivement des solutions MDM pour gérer les appareils mobiles de leurs agents. Un accès EPMM permet de cibler des réseaux gouvernementaux souvent moins bien protégés que les réseaux fédéraux centraux.
- Secteur de la santé : hôpitaux et établissements de soins gèrent des milliers d’appareils mobiles contenant des dossiers patients. La compromission de l’EPMM ouvre l’accès aux systèmes d’information hospitaliers.
- Industrie manufacturière : les fabricants, notamment dans les secteurs automobile et aéronautique, utilisent EPMM pour les équipes terrain. L’accès aux réseaux OT (technologies opérationnelles) constitue l’enjeu principal.
- Services professionnels et juridiques : cabinets d’avocats, consultants et auditeurs traitent des données confidentielles de clients. Leurs systèmes EPMM donnent accès à des communications et documents sensibles.
- Technologies de l’information : les entreprises tech elles-mêmes constituent des cibles d’intérêt pour l’espionnage industriel et la compromission de la chaîne d’approvisionnement logicielle.
La présence de l’Allemagne dans la liste des pays touchés est significative pour l’Europe. L’Allemagne concentre un nombre important d’entreprises manufacturières, de PME industrielles et d’administrations régionales utilisant Ivanti EPMM dans des déploiements on-premises. Les équipes de sécurité françaises opérant dans ces mêmes secteurs doivent considérer que leurs homologues allemands ont été ciblés et évaluer leur exposition avec la même urgence.
Exposition en Europe : des centaines de serveurs potentiellement vulnérables
Les analyses de surface d’attaque menées par plusieurs fournisseurs de sécurité révèlent que des centaines de serveurs Ivanti EPMM restent directement exposés sur Internet en Europe. Ces serveurs représentent autant de cibles potentielles pour les acteurs de la menace qui, depuis la publication de preuves de concept (PoC) d’exploitation, disposent d’outils d’attaque automatisés.
Selon les chercheurs de Horizon3.ai : “Un attaquant ayant exploité CVE-2026-1340 peut compromettre l’intégralité du serveur EPMM, accéder sans restriction aux données de l’ensemble des appareils mobiles gérés, et se déplacer latéralement vers les systèmes d’entreprise connectés. Le niveau de contrôle obtenu est équivalent à celui d’un administrateur légitime de l’infrastructure MDM.”
Pour les organisations françaises, le risque est direct. La France compte plusieurs centaines d’entreprises et d’administrations ayant déployé Ivanti EPMM dans des configurations on-premises. Les OIV (opérateurs d’importance vitale) qui utilisent cette solution sont particulièrement exposés : la compromission de leur serveur EPMM pourrait permettre d’accéder à des réseaux classifiés via les appareils mobiles gérés. L’ANSSI n’a pas publié d’avis spécifique sur CVE-2026-1340, mais les organisations françaises restent soumises aux obligations de gestion des vulnérabilités critiques imposées par la directive NIS2 et ses textes de transposition.
Un historique préoccupant : Ivanti EPMM, cible répétée depuis 2023
CVE-2026-1340 n’est pas une anomalie dans l’histoire d’Ivanti EPMM. Depuis 2023, le produit a concentré une série de vulnérabilités critiques, dont plusieurs ont été exploitées activement avant même la publication des correctifs. Ce schéma répété soulève des questions fondamentales sur les pratiques de développement sécurisé (Secure Development Lifecycle) chez Ivanti et sur la pertinence du choix de déploiements EPMM on-premises exposés à Internet pour des organisations sensibles.
En juillet 2023, CVE-2023-35078 avait établi un précédent alarmant : une faille d’authentification dans Ivanti EPMM avait obtenu un score CVSS 10.0, le maximum possible. Exploitée par des acteurs liés à des États-nations, elle avait notamment servi à compromettre des réseaux gouvernementaux norvégiens. La Norvège avait été la première victime documentée, mais l’exploitation s’était rapidement étendue à d’autres pays européens. Cette faille avait été enchaînée avec CVE-2023-35081, une vulnérabilité de traversée de chemin (path traversal) dans le même produit.
En 2025, deux nouvelles failles avaient refait surface dans EPMM : CVE-2025-4427 (contournement d’authentification) et CVE-2025-4428 (exécution de code à distance), que des attaquants avaient combinées pour obtenir un accès non authentifié aux serveurs EPMM. Ces vulnérabilités de 2025, moins graves individuellement que celles de 2023 et 2026, montraient néanmoins que le processus de révision du code d’Ivanti n’avait pas éliminé les causes racines des vulnérabilités récurrentes.
| CVE | Année | Type de faille | CVSS | Exploitation active |
|---|---|---|---|---|
| CVE-2023-35078 | 2023 | Contournement d’authentification EPMM | 10.0 | Oui (gouvernements européens) |
| CVE-2023-35081 | 2023 | Traversée de chemin EPMM | 7.2 | Oui (enchaîné avec CVE-2023-35078) |
| CVE-2025-4427 | 2025 | Contournement d’authentification EPMM | 5.3 | Oui (enchaîné avec CVE-2025-4428) |
| CVE-2025-4428 | 2025 | Exécution de code à distance EPMM | 7.2 | Oui (enchaîné avec CVE-2025-4427) |
| CVE-2026-1281 | 2026 | Injection de code pré-auth EPMM | 9.8 | Oui (zero-day, CISA KEV) |
| CVE-2026-1340 | 2026 | Injection de code pré-auth EPMM | 9.8 | Oui (exploitation généralisée) |
L’analyse de ce tableau révèle une trajectoire inquiétante : en moins de 3 ans, Ivanti EPMM a accumulé 6 vulnérabilités critiques ou élevées, toutes exploitées dans la nature avant ou immédiatement après la divulgation. Cette concentration est statistiquement anormale et indique soit des défauts structurels dans l’architecture du produit, soit des pratiques de revue de code insuffisantes, soit les deux.
Comment détecter une compromission post-CVE-2026-1340
La détection d’une compromission via CVE-2026-1340 nécessite une analyse proactive des logs et de l’état du serveur EPMM. Les indicateurs de compromission (IOC) documentés par les chercheurs de sécurité permettent aux équipes de réponse aux incidents d’identifier si un serveur a été ciblé, même si l’exploitation initiale date de plusieurs semaines.
Les premiers éléments à vérifier dans les logs du serveur EPMM sont les requêtes HTTP GET vers les chemins /mifs/c/aftstore/fob/ (CVE-2026-1340) et /mifs/c/appstore/fob/ (CVE-2026-1281). Des requêtes inhabituelles vers ces endpoints, en particulier celles incluant des caractères spéciaux ou des séquences d’échappement shell, sont des signaux d’alerte. Les tentatives d’exploitation génèrent des patterns reconnaissables dans les logs d’accès web.
Au-delà des logs, les équipes doivent rechercher sur le serveur des fichiers récents inexpliqués, en particulier dans les répertoires web accessibles via HTTP : des web shells se présentent souvent comme des fichiers PHP ou JSP avec des noms anodins. La présence de nouveaux comptes administrateurs EPMM non créés par l’équipe IT, de modifications de configuration non documentées, ou d’activités de découverte réseau depuis le serveur EPMM sont d’autres indicateurs d’une compromission active.
Les chercheurs d’Arctic Wolf soulignent : “Ivanti a confirmé avoir observé une exploitation active dans des environnements clients avant même la divulgation publique du 29 janvier 2026. Toute organisation opérant un serveur EPMM on-premises accessible depuis Internet doit considérer qu’une compromission est possible et mener une investigation forensique, même si le patch a été appliqué rapidement.”
Les limites du correctif RPM d’Ivanti
La réponse initiale d’Ivanti s’est appuyée sur des correctifs RPM (hotfixes), spécifiques à chaque branche de version, publiés le 29 janvier 2026. Cette approche, bien que rapide, présente une limitation critique documentée par les chercheurs d’eSentire : “Les correctifs RPM fournis par Ivanti sont spécifiques à chaque version et ne survivent pas à une mise à niveau du produit. Les administrateurs qui appliquent le hotfix puis procèdent à une montée de version d’EPMM perdent silencieusement la protection et doivent réappliquer manuellement le correctif adapté à la nouvelle version.”
Ce comportement crée un risque de réintroduction de la vulnérabilité dans des environnements qui pensaient être protégés. Une organisation ayant patché son EPMM 12.6 en janvier, puis mis à jour vers 12.7 en mars sans réappliquer le hotfix, se retrouverait à nouveau exposée à CVE-2026-1340 plusieurs semaines après avoir cru avoir résolu le problème.
Le correctif permanent a été intégré dans EPMM 12.8.0.0, livré au cours du premier trimestre 2026. Pour les organisations n’ayant pas encore migré vers cette version ou une version ultérieure, le risque de perte silencieuse du patch après une mise à jour intermédiaire reste présent. La recommandation prioritaire est de migrer directement vers EPMM 12.8.0.0 ou supérieur, ou de vérifier systématiquement après chaque mise à jour que le hotfix est toujours actif.
Analyse stratégique : pourquoi EPMM est une cible de choix
La récurrence des vulnérabilités critiques dans Ivanti EPMM révèle un problème structurel qui va au-delà de simples bugs corrigibles. EPMM est un produit hérité (anciennement MobileIron Core, acquis par Ivanti en 2020), construit sur une architecture web qui date de l’ère pré-HTTPS généralisé et qui porte les marques d’un historique de code complexe. Les fonctionnalités critiques comme le transfert de fichiers Android (CVE-2026-1340) ou la distribution d’applications internes (CVE-2026-1281) semblent partager des patterns d’implémentation similaires dans leur traitement des requêtes HTTP.
Pour les acteurs de la menace, EPMM représente une cible particulièrement attractive pour trois raisons. Premièrement, un seul serveur compromis donne accès à l’ensemble du parc mobile d’une organisation, potentiellement des milliers d’appareils. Deuxièmement, EPMM gère des certificats et des profils d’accès qui peuvent être réutilisés pour pénétrer d’autres systèmes d’entreprise. Troisièmement, les administrateurs EPMM ont tendance à exposer leurs serveurs directement sur Internet pour permettre la gestion des appareils mobiles hors du réseau d’entreprise, sans nécessairement appliquer les mêmes contrôles de sécurité réseau que pour d’autres serveurs critiques.
L’ENISA, l’agence européenne pour la cybersécurité, a identifié les plateformes de gestion des appareils mobiles comme une surface d’attaque prioritaire dans son panorama des menaces pour les infrastructures critiques. La tendance vers le travail hybride, accélérée depuis 2020, a massivement augmenté le nombre de serveurs MDM/EPMM accessibles depuis Internet sans protection réseau adéquate.
5 prédictions pour les 6 prochains mois
Sur la base des patterns observés avec CVE-2026-1340 et des tendances de fond du marché, cinq évolutions probables se dessinent pour le second semestre 2026 :
- Nouvelles CVE critiques dans Ivanti EPMM d’ici fin 2026. La récurrence des failles (2023, 2025, 2026) et la cause racine commune (construction non sécurisée de commandes dans le traitement HTTP) laissent présager que des variantes non encore découvertes existent dans d’autres fonctionnalités du produit. Un audit de code approfondi mandaté par Ivanti ou réalisé par des chercheurs tiers devrait révéler de nouvelles surfaces vulnérables.
- Accélération de la migration vers les MDM cloud. Face à l’historique de CVE critiques dans les déploiements on-premises, les RSSI européens vont accélérer leur migration vers des solutions MDM hébergées dans le cloud (Ivanti Neurons for MDM, Microsoft Intune, Jamf) qui ne sont pas exposées aux mêmes vecteurs d’attaque réseau.
- Publication d’un avis ANSSI ou ENISA spécifique aux solutions MDM. La cible répétée qu’est devenu Ivanti EPMM devrait pousser les agences de cybersécurité européennes à publier des recommandations formelles sur la sécurisation des solutions MDM on-premises, incluant des exigences de protection réseau et des délais de patch.
- Attribution de campagnes à des acteurs étatiques d’Asie de l’Est. Le profil des cibles (gouvernements, industrie de défense, haute technologie) et la sophistication des techniques post-exploitation (web shells persistants, déplacement latéral) correspondent aux TTP (tactiques, techniques et procédures) des groupes APT affiliés à des États-nations. Une attribution formelle par des agences de renseignement occidentales est probable d’ici fin 2026.
- Intégration des exigences de patch MDM dans le cadre NIS2 en France. Les autorités de contrôle NIS2 françaises vont probablement inclure la gestion des vulnérabilités dans les solutions MDM et UEM dans leurs exigences de contrôle pour les OIV et OSE, au même titre que les pare-feux et les VPN.
Que faire maintenant : guide de protection
Pour les organisations utilisant Ivanti EPMM, les actions prioritaires sont les suivantes, classées par urgence :
Immédiat (sous 24 heures) : Vérifier la version d’EPMM déployée et son exposition réseau. Toute instance EPMM accessible directement depuis Internet doit être considérée comme potentiellement compromise si elle n’a pas été mise à jour vers 12.8.0.0 ou si le hotfix RPM n’a pas été appliqué et vérifié. Auditer les logs à la recherche de requêtes suspectes vers /mifs/c/aftstore/fob/ et /mifs/c/appstore/fob/.
Court terme (sous 7 jours) : Planifier la migration vers EPMM 12.8.0.0 ou supérieur pour bénéficier du correctif permanent. Mettre en place des règles IDS/IPS pour détecter les tentatives d’exploitation des chemins vulnérables. Revoir l’architecture réseau pour protéger le serveur EPMM derrière un VPN ou des contrôles d’accès réseau, éliminant son exposition directe à Internet.
Moyen terme (sous 30 jours) : Évaluer la pertinence d’une migration vers une solution MDM cloud (Ivanti Neurons for MDM, Microsoft Intune ou équivalent) pour éliminer structurellement la surface d’attaque on-premises. Réaliser un inventaire des certificats et profils gérés par EPMM et procéder à leur rotation si une compromission ne peut être exclue.
Questions fréquentes sur CVE-2026-1340
Ivanti Neurons for MDM est-il affecté par CVE-2026-1340 ?
Non. CVE-2026-1340 affecte uniquement les installations on-premises d’Ivanti EPMM. Les solutions hébergées dans le cloud par Ivanti (Neurons for MDM) et Ivanti Sentry ne sont pas concernées.
Le correctif RPM suffit-il à protéger mon serveur EPMM ?
Le correctif RPM est une mesure d’atténuation temporaire qui ne survit pas aux mises à jour de version. La protection définitive nécessite la migration vers EPMM 12.8.0.0 ou une version ultérieure, qui intègre le correctif permanent.
Comment savoir si mon serveur EPMM a été compromis ?
Analyser les logs d’accès HTTP pour des requêtes vers /mifs/c/aftstore/fob/ ou /mifs/c/appstore/fob/. Rechercher des fichiers récents inexpliqués sur le serveur, en particulier dans les répertoires web accessibles. Vérifier la présence de nouveaux comptes administrateurs non autorisés et d’activités réseau anormales depuis le serveur EPMM.
La faille CVE-2026-1340 nécessite-t-elle une authentification préalable ?
Non. CVE-2026-1340 est une faille pré-authentification : l’attaquant n’a besoin d’aucun identifiant valide pour exploiter la vulnérabilité et exécuter du code arbitraire sur le serveur EPMM.
Ivanti EPMM est-il encore un produit recommandable pour les organisations européennes ?
La décision appartient aux RSSI de chaque organisation. Le bilan des 3 dernières années (6 CVE critiques ou élevées, toutes exploitées activement) justifie une réévaluation sérieuse, notamment pour les organisations qui n’ont pas les ressources pour appliquer les patches d’urgence dans des délais très courts. Les solutions MDM cloud présentent une surface d’attaque structurellement réduite.
Quelles organisations françaises sont les plus exposées ?
Les organisations ayant déployé Ivanti EPMM on-premises avec exposition directe sur Internet dans les secteurs de la santé, des collectivités territoriales, de l’industrie et des services professionnels sont les plus exposées. Les OIV utilisant EPMM doivent traiter cette vulnérabilité avec la même urgence que la CISA l’a imposé aux agences fédérales américaines.
Couverture connexe
Pour approfondir votre compréhension des menaces pesant sur les infrastructures d’entreprise européennes :
- CVE-2026-0257 : Palo Alto GlobalProtect exploité, 8 entreprises sur 10 ciblées [2026]
- FortiBleed : 75 000 pare-feux Fortinet piratés, groupe russe dans 194 pays [2026]
- Cyber Resilience Act : 3 échéances, 15 M€ d’amende [2026]
- ANSSI : fin des certifications sans cryptographie post-quantique dès 2027 [2026]
- TLS 1.3 vs TLS 1.2 : 40 % plus rapide, 5 CVE résolus [2026]
Sources : Unit 42 – Palo Alto Networks Threat Intelligence | Rapid7 Blog – Vulnerability Research | ENISA – Panorama des cybermenaces
