Le 30 avril 2026, Progress Software a divulgué deux vulnérabilités critiques dans MOVEit Automation, le moteur de transfert de fichiers automatisé utilisé par plus de 3 000 entreprises et 100 000 utilisateurs dans le monde. La plus grave, CVE-2026-4670, obtient un score CVSS de 9,8 et permet à un attaquant non authentifié de contourner l’ensemble des mécanismes d’authentification sans interaction utilisateur. Découverte par quatre chercheurs de l’équipe Airbus SecLab, cette faille expose des données de paie, des transferts financiers et des dossiers médicaux à un accès non autorisé complet. Le spectre du désastre MOVEit 2023 (93,3 millions de victimes, 2 700 organisations) plane de nouveau sur l’industrie de la cybersécurité.
MOVEit Automation : la cible stratégique des transferts d’entreprise
MOVEit Automation (anciennement MOVEit Central, puis Ipswitch MOVEit Central) n’est pas un outil de niche. Il s’agit du moteur d’orchestration que les entreprises utilisent pour déplacer des données sensibles sur des cycles automatisés : fichiers de paie, transactions financières, dossiers médicaux, données partenaires et fichiers d’ingénierie. La plateforme stocke également les identifiants intégrés dans les tâches d’automatisation, ce qui en fait une cible d’une valeur exceptionnelle pour les attaquants.
Progress Software se positionne comme leader dans le rapport G2 Grid pour les logiciels de transfert de fichiers géré (MFT). Avec 3 000 entreprises clientes et 100 000 utilisateurs, MOVEit traite quotidiennement des volumes considérables de données critiques dans les secteurs de la finance, de la santé, de l’industrie et de l’administration publique. En Europe, de nombreuses entreprises utilisent MOVEit pour assurer la conformité avec le RGPD et les normes PCI-DSS, HIPAA et SOC 2.
Le secteur MFT est devenu une cible structurelle pour les groupes d’attaque. Cleo, CrushFTP, Wing FTP et maintenant MOVEit Automation ont tous été ciblés ces derniers mois. La raison est simple : ces produits se trouvent en périphérie du réseau et traitent les données les plus sensibles de l’entreprise. Une seule faille critique suffit à compromettre l’intégralité de la chaîne de valeur d’une organisation.
CVE-2026-4670 : zéro authentification, zéro interaction, accès total
CVE-2026-4670 est classée comme un contournement d’authentification par faiblesse primaire (CWE-305). Un attaquant distant non authentifié peut exploiter cette faille entièrement via le réseau, sans aucun privilège préalable et sans interaction de l’utilisateur. Le vecteur d’attaque se situe dans les interfaces de port de commande backend du service de MOVEit Automation.
Progress Software décrit les conséquences directement dans son bulletin officiel : “L’exploitation peut conduire à un accès non autorisé, un contrôle administratif et une exposition des données.” Le score CVSS 9,8 place CVE-2026-4670 parmi les vulnérabilités les plus critiques divulguées en 2026, au même niveau que la faille d’origine MOVEit de 2023 (CVE-2023-34362, CVSS 9,8).
Les versions affectées couvrent un spectre large : toutes les installations de MOVEit Automation antérieures à 2025.0.9 dans la branche 2025.0.x, toutes les versions antérieures à 2024.1.8 dans la branche 2024.x, et toutes les versions antérieures à 2024.0.0 sans exception. Cette dernière catégorie représente potentiellement de nombreuses installations non maintenues dans des environnements industriels ou gouvernementaux.
Impact technique des deux vulnérabilités combinées
Utilisées ensemble, CVE-2026-4670 et CVE-2026-5174 créent un chemin d’attaque complet : de l’accès réseau non authentifié au contrôle administratif total de l’environnement MOVEit Automation. L’attaquant accède alors aux identifiants stockés dans les tâches d’automatisation, aux données métiers sensibles (rapports, fichiers de paie, informations financières) et au réseau d’entreprise étendu. Il n’existe aucune atténuation partielle documentée par Progress : la mise à niveau est la seule voie de remédiation.
CVE-2026-5174 : l’escalade de privilèges qui ferme la boucle
La seconde vulnérabilité, CVE-2026-5174, est une faille d’escalade de privilèges par validation incorrecte des entrées. Elle obtient un score CVSS de 8,8 selon le NIST (7,7 selon Progress en tant qu’autorité de numérotation CVE). Un attaquant disposant de privilèges bas peut exploiter cette faille pour escalader ses droits jusqu’au niveau administrateur.
La combinaison est redoutable. CVE-2026-4670 fournit l’entrée initiale sans aucun compte valide. CVE-2026-5174 transforme cet accès limité en contrôle total. Progress confirme que les deux vulnérabilités résident dans les mêmes interfaces de port de commande backend du service, ce qui simplifie leur enchaînement pour un attaquant expérimenté.
CVE-2026-5174 affecte uniquement les versions antérieures à 2025.1.5 dans la branche 2025.1.x, en plus des mêmes versions que CVE-2026-4670. Le correctif commun aux deux vulnérabilités couvre les versions 2025.1.5, 2025.0.9 et 2024.1.8. Progress précise qu’il n’existe aucune solution de contournement équivalente à la mise à niveau complète.
Tableau des versions affectées et correctifs disponibles
| Branche MOVEit Automation | Versions affectées (CVE-2026-4670) | Versions affectées (CVE-2026-5174) | Version corrigée |
|---|---|---|---|
| 2025.1.x | Non affectée | 2025.1.4 et antérieures | 2025.1.5 |
| 2025.0.x | 2025.0.0 à 2025.0.8 | 2025.0.8 et antérieures | 2025.0.9 |
| 2024.1.x | 2024.0.0 à 2024.1.7 | 2024.1.7 et antérieures | 2024.1.8 |
| Antérieures à 2024.0.0 | Toutes versions | Toutes versions | Mise à niveau vers 2024.1.8+ |
Progress insiste : “La mise à niveau vers une version corrigée, en utilisant le programme d’installation complet, est la seule façon de résoudre ce problème. Il y aura une interruption de service pendant la mise à niveau.” Les clients disposant d’un contrat de maintenance actif peuvent télécharger les correctifs depuis le portail Progress Community.
Airbus SecLab : quatre chercheurs français à l’origine de la découverte
La découverte de CVE-2026-4670 et CVE-2026-5174 est attribuée à quatre chercheurs de l’équipe Airbus SecLab : Anaïs Gantet, Delphine Gourdou, Quentin Liddell et Matteo Ricordeau. L’équipe SecLab d’Airbus est spécialisée dans la sécurité des systèmes critiques, notamment dans les domaines de l’aviation, de la défense et des infrastructures industrielles.
La divulgation a suivi un processus de divulgation responsable coordonnée. Les chercheurs ont notifié Progress Software en amont, permettant à l’éditeur de développer et de tester des correctifs avant la publication publique. Ce protocole contraste avec les incidents de type zero-day exploité dans la nature, où les organisations n’ont aucun délai pour se protéger.
La participation d’Airbus SecLab souligne le rôle croissant de la recherche en sécurité industrielle française dans l’écosystème mondial de la cybersécurité. L’ANSSI recense régulièrement des recherches de ce type dans ses bulletins CERT-FR, renforçant la coordination nationale face aux menaces sur les infrastructures critiques. Cette découverte démontre également que les logiciels de transfert de fichiers d’entreprise restent une surface d’attaque prioritaire pour la recherche défensive.
Chronologie : de la divulgation au patch d’urgence
La séquence des événements autour de CVE-2026-4670 illustre les meilleures pratiques de gestion de vulnérabilité, mais aussi les délais réels auxquels font face les équipes de sécurité :
- 30 avril 2026 : Progress Software publie le bulletin d’alerte de sécurité critique et les entrées NVD. Les équipes de sécurité entrent en mode de patch d’urgence.
- 4 mai 2026 : HelpNetSecurity, Rapid7 et l’équipe RunZero publient leurs analyses techniques. CISA surveille la situation.
- 5 mai 2026 : Le NVD finalise ses entrées. Rapid7 note un score CVSS alternatif de 10,0 pour CVE-2026-4670 dans certaines configurations.
- 12 mai 2026 : Kiteworks publie une analyse approfondie signalant l’absence d’exploitation confirmée dans la nature, mais alertant sur le risque historique élevé du produit.
- 20 juin 2026 : Aucune exploitation confirmée dans la nature, mais les équipes de sécurité maintiennent une surveillance renforcée.
L’absence d’exploitation confirmée au moment de la divulgation ne réduit pas l’urgence. En 2023, Cl0p avait probablement expérimenté avec CVE-2023-34362 depuis 2021 avant de lancer une exploitation massive en mai 2023. Les groupes sophistiqués ont tendance à accumuler des accès avant de les monétiser.
Retour sur 2023 : quand MOVEit Transfer a exposé 93 millions de personnes
Pour mesurer le risque que représente CVE-2026-4670, le précédent de 2023 s’impose. En mai 2023, le groupe de ransomware Cl0p (suivi par la CISA sous le nom TA505) a exploité CVE-2023-34362, une injection SQL dans MOVEit Transfer (un produit distinct de MOVEit Automation). L’exploitation a commencé le 27 mai 2023 via le webshell LEMURLOOT.
Les résultats ont été dévastateurs. Selon les données Emsisoft confirmées au 26 octobre 2023 : 2 559 organisations compromises et 66 369 148 individus dont les données personnelles ont été exposées. Les estimations initiales montaient jusqu’à 2 700 organisations et 93,3 millions de personnes. L’impact financier potentiel total a été estimé jusqu’à 12,15 milliards de dollars sur la base du coût moyen d’une violation de données personnelles.
Parmi les victimes confirmées : le Département américain de l’Énergie, l’Université Johns Hopkins, le géant énergétique britannique Shell, la société financière Genworth Financial, et Landal Greenparks (Pays-Bas). Des agences gouvernementales des États de l’Oregon et de Louisiane ont averti des millions de résidents que leurs numéros de sécurité sociale étaient compromis. CalPERS, la caisse de retraite de Californie gérant 769 000 bénéficiaires, a également été affectée via son prestataire PBI Research Services.
La différence clé entre 2023 et 2026 : CVE-2026-4670 cible MOVEit Automation (le moteur de workflow) plutôt que MOVEit Transfer. Les deux produits appartiennent à la même famille, mais MOVEit Automation gère les automatisations de transfert et stocke des identifiants intégrés, ce qui représente un risque supplémentaire par rapport à 2023.
Tableau comparatif : CVE-2023-34362 versus CVE-2026-4670
| Critère | CVE-2023-34362 (MOVEit Transfer) | CVE-2026-4670 (MOVEit Automation) |
|---|---|---|
| Score CVSS | 9,8 Critique | 9,8 Critique (10,0 selon Rapid7) |
| Type de faille | Injection SQL | Contournement d’authentification |
| Accès requis | Non authentifié, réseau | Non authentifié, réseau |
| Interaction utilisateur | Aucune | Aucune |
| Vulnérabilité associée | CVE-2023-35036, CVE-2023-35708 | CVE-2026-5174 (CVSS 8,8) |
| Groupe exploitant | Cl0p (TA505), à partir du 27 mai 2023 | Aucune exploitation confirmée (juin 2026) |
| Organisations compromises | 2 559 (confirmées), 2 700+ (estimées) | À déterminer |
| Individus affectés | 66,4 millions (confirmés), 93,3M (estimés) | À déterminer |
| Impact financier estimé | Jusqu’à 12,15 milliards de dollars | À déterminer |
| Découvreur | Zellis (via exploitation active) | Airbus SecLab (divulgation responsable) |
| Seul correctif possible | Patch de Progress Software | Mise à niveau complète obligatoire |
Secteurs exposés : finance, santé et industrie en première ligne
MOVEit Automation est utilisé dans des secteurs où les transferts de données automatisés sont à la fois fréquents et critiques. La finance transfère des données de paie, des relevés de compte et des fichiers de conformité. La santé déplace des dossiers médicaux, des résultats d’analyse et des fichiers de facturation. L’industrie automatise des données d’ingénierie, des commandes fournisseurs et des fichiers de production.
En Europe, les entreprises soumises à la directive NIS2 (secteurs de l’énergie, du transport, des services financiers, de la santé, des infrastructures numériques et de l’eau) sont particulièrement exposées. MOVEit Automation gère souvent des flux de données entre systèmes OT et IT dans les environnements industriels, amplifiant la surface d’attaque au-delà du simple transfert de fichiers.
La maturité de la gestion des correctifs dans ces secteurs varie considérablement. Les organisations financières tendent à disposer de cycles de patch rapides. Les environnements industriels et de santé présentent souvent des délais de mise à niveau de plusieurs semaines voire plusieurs mois, en raison des contraintes opérationnelles et des certifications requises. Or, Progress précise qu’une interruption de service est inévitable pendant la mise à niveau : certaines équipes pourraient retarder l’application du correctif.
NIS2 et obligations des entreprises européennes après cette divulgation
La directive NIS2, transposée dans le droit français et européen, impose des obligations strictes aux entités essentielles et importantes en matière de gestion des risques et de notification des incidents. Face à CVE-2026-4670, plusieurs obligations s’appliquent immédiatement.
Les organisations doivent d’abord réaliser une évaluation de l’exposition : identifier toutes les instances MOVEit Automation dans leur périmètre, y compris chez leurs prestataires et sous-traitants. La chaîne d’approvisionnement numérique est un vecteur majeur : une organisation peut être compromise via un prestataire qui utilise MOVEit Automation pour automatiser des transferts inter-systèmes.
En cas d’exploitation confirmée, la NIS2 impose une notification initiale à l’autorité compétente dans les 24 heures, suivie d’un rapport intermédiaire sous 72 heures. L’ANSSI est l’autorité de référence en France pour les entités essentielles. Le CERT-FR publie des alertes et des avis techniques sur cert.ssi.gouv.fr.
Le Cyber Resilience Act renforce le cadre réglementaire
Le Cyber Resilience Act (CRA) impose aux fabricants de produits numériques de prendre en charge activement la gestion des vulnérabilités. Pour les utilisateurs de MOVEit Automation, ce cadre signifie que Progress Software doit fournir des correctifs de sécurité dans des délais définis. La découverte coordonnée par Airbus SecLab, avec publication simultanée du bulletin et du correctif, correspond exactement à ce que le CRA entend encourager. Les organisations qui tardent à appliquer ces correctifs pourraient se voir reprocher un manque de diligence en cas d’incident.
Comment appliquer le patch CVE-2026-4670 : procédure de remédiation
Progress est explicite : il n’existe aucun contournement partiel. La mise à niveau vers une version corrigée avec le programme d’installation complet est la seule remédiation valable. Voici la procédure recommandée par les équipes de sécurité :
- Identifier toutes les instances MOVEit Automation dans l’environnement (sur site, cloud, environnements tiers).
- Vérifier la version via le menu Aide > À propos pour chaque instance.
- Restreindre l’accès réseau aux ports de commande backend en attendant la mise à niveau.
- Planifier une fenêtre de maintenance : la mise à niveau entraîne une interruption de service.
- Télécharger les correctifs depuis le portail Progress Community (contrat de maintenance requis).
- Vérifier les journaux après mise à niveau pour détecter tout accès suspect antérieur à la mise à niveau.
- Auditer les comptes et supprimer les comptes non autorisés potentiellement créés.
Rapid7 note que certaines configurations pourraient aboutir à un score CVSS de 10,0 plutôt que 9,8 selon les paramètres de déploiement. L’analyse de Beazley Security recommande également de traiter CVE-2026-4670 comme priorité P0, indépendamment des autres travaux de sécurité en cours. Les équipes qui ne peuvent pas patcher immédiatement doivent au minimum isoler les instances MOVEit Automation d’Internet.
Cinq prévisions pour les 90 prochains jours
Sur la base de la dynamique observée avec CVE-2023-34362 et les vulnérabilités MFT récentes, voici les scénarios les plus probables pour l’été 2026 :
- Exploitation active dans les 30 jours. Les groupes sophistiqués comme Cl0p ont démontré leur capacité à analyser rapidement les correctifs publiés et à développer des exploits. Les instances non patchées seront la cible prioritaire dès juillet 2026.
- Ajout au catalogue CISA KEV. Si une exploitation est confirmée, la CISA ajoutera CVE-2026-4670 à son catalogue Known Exploited Vulnerabilities, forçant les agences fédérales américaines à patcher sous 72 heures. Les autorités européennes suivront avec leurs propres alertes.
- Campagnes de ransomware ciblant les instances non patchées. Le modèle de 2023 (exploitation silencieuse, puis extorsion massive) pourrait se répéter. Les organisations qui n’ont pas appliqué le patch d’ici fin juillet 2026 présentent un risque élevé.
- Publication de preuves de concept (PoC) publiques. Les analyses techniques de Rapid7, RunZero et Ionix accélèrent le délai avant la publication de PoC exploitables. Un PoC public peut diviser par dix le délai d’exploitation massive.
- Pression réglementaire accrue en Europe. L’ANSSI pourrait émettre une alerte formelle CERT-FR ciblant les opérateurs d’importance vitale (OIV) et les entités NIS2. Les organisations tardant à patcher pourraient faire face à des audits de conformité renforcés.
Couverture connexe
À lire sur shattered.io
- Ivanti EPMM Zero-Day CVSS 9.8 : 5 secteurs ciblés en 2026
- CVE-2026-0257 : Palo Alto GlobalProtect exploité, 8 entreprises sur 10 ciblées
- FortiBleed : 75 000 pare-feux Fortinet piratés par un groupe russe
- Cyber Resilience Act : 3 échéances, 15 M€ d’amende pour les entreprises
- Ransomware en Europe : +44,5 % de victimes en 2026
- Pilier Sécurité : toutes les analyses shattered.io
Ressources officielles
- Bulletin Progress Software : alerte de sécurité critique MOVEit Automation (avril 2026)
- HelpNetSecurity : analyse technique CVE-2026-4670
- Rapid7 Vulnerability Database : CVE-2026-4670
- CVE.org : fiche officielle CVE-2026-4670
- CERT-FR (ANSSI) : alertes et avis techniques
Questions fréquentes sur CVE-2026-4670 MOVEit
CVE-2026-4670 est-il exploité activement en juin 2026 ?
Au 20 juin 2026, Progress Software n’a confirmé aucune exploitation dans la nature. Cependant, l’absence de confirmation ne signifie pas l’absence d’activité. Les groupes sophistiqués analysent les correctifs publiés pour développer leurs exploits, parfois en quelques jours. Une surveillance continue des journaux MOVEit Automation est recommandée.
Quelle est la différence entre MOVEit Transfer et MOVEit Automation ?
MOVEit Transfer est le serveur de transfert de fichiers géré. MOVEit Automation (anciennement MOVEit Central) est le moteur d’orchestration qui automatise les workflows de transfert, planifie les tâches et stocke les identifiants nécessaires à ces automatisations. CVE-2026-4670 affecte MOVEit Automation, tandis que CVE-2023-34362 visait MOVEit Transfer.
Existe-t-il un correctif temporaire pour CVE-2026-4670 ?
Non. Progress Software est explicite : la mise à niveau vers une version corrigée via le programme d’installation complet est la seule remédiation. Il n’existe aucun contournement partiel documenté. En attendant la mise à niveau, isoler les instances MOVEit Automation d’Internet via des règles pare-feu réduit la surface d’attaque exposée.
Les organisations européennes doivent-elles notifier l’ANSSI ?
En l’absence d’exploitation confirmée, la notification n’est pas obligatoire. En cas d’incident avéré, la directive NIS2 impose une notification initiale à l’ANSSI dans les 24 heures, un rapport intermédiaire sous 72 heures, et un rapport final sous 30 jours. Les entités essentielles (énergie, transport, finance, santé) sont soumises aux obligations les plus strictes.
Qui est Airbus SecLab, le découvreur de la faille ?
Airbus SecLab est l’équipe de recherche en cybersécurité d’Airbus, spécialisée dans la sécurité des systèmes critiques. Les quatre chercheurs qui ont découvert CVE-2026-4670 et CVE-2026-5174 sont Anaïs Gantet, Delphine Gourdou, Quentin Liddell et Matteo Ricordeau. La découverte a été communiquée à Progress Software via un processus de divulgation responsable coordonnée.
MOVEit Automation stocke-t-il des données sensibles directement ?
Oui. MOVEit Automation stocke les identifiants nécessaires à l’exécution des tâches automatisées (connexions FTP, SFTP, bases de données). Il gère également des données en transit : fichiers de paie, relevés financiers, dossiers médicaux et fichiers d’ingénierie. Un attaquant qui prend le contrôle de MOVEit Automation obtient un accès potentiel à l’ensemble de ces flux et des systèmes connectés.
Derniers articles
CybersécuritéNIS2 : France devant la CJUE, 10 000 Entites sous Pression [2026]Jun 22, 2026
35Guerre Hybride Russe : 150 Incidents, +25% en Europe [2026]Jun 22, 2026
35Opération Ramz : INTERPOL Arrête 201 Cybercriminels dans 13 Pays [2026]Jun 22, 2026
35ICO Sanctionne : 633 000 Victimes, 4,1 To Dark Web, £963 000 [2026]Jun 21, 2026