Le 9 juin 2026 à 14h13 UTC, Ivanti a publié une alerte de sécurité qui a fait basculer des milliers d’équipes informatiques en mode crise. Deux failles critiques touchent Ivanti Sentry, la passerelle de sécurité mobile utilisée par des administrations et des grands groupes pour filtrer l’accès aux messageries et aux données d’entreprise. La première, CVE-2026-10520, atteint le score maximal de 10,0 sur l’échelle CVSS. La seconde, CVE-2026-10523, plafonne à 9,9. Vingt-quatre heures après l’annonce, l’une d’elles était déjà exploitée dans la nature.
Cette nouvelle faille Ivanti Sentry tombe au pire moment pour l’éditeur américain et pour l’Europe. En février 2026, plusieurs institutions, dont des services liés à la Commission européenne et au gouvernement néerlandais, avaient déjà été visées via des produits Ivanti. Le CERT-EU a publié sa propre alerte, référencée 2026-008, le jour même de la divulgation. La CISA américaine a ajouté la vulnérabilité à son catalogue des failles activement exploitées le 11 juin, avec une échéance de correction fixée au 14 juin pour les agences fédérales. Trois jours. Du jamais vu, ou presque.
Cet article décortique ce que font réellement ces deux vulnérabilités, qui est touché, comment les attaquants enchaînent les failles, et pourquoi Ivanti est devenu, en deux ans, le fournisseur dont les produits de sécurité font le plus parler d’eux pour de mauvaises raisons.
Faille Ivanti Sentry : ce que disent les deux CVE
Ivanti Sentry, anciennement MobileIron Sentry, agit comme une passerelle entre les appareils mobiles d’une organisation et ses serveurs internes (messagerie Exchange, partages de fichiers, applications métier). Cette position en fait une cible idéale : compromettre Sentry, c’est se placer au point de passage de tout le trafic mobile d’entreprise.
La CVE-2026-10520 est une injection de commande système (OS command injection). Elle permet à un attaquant distant, sans authentification, d’exécuter des commandes arbitraires avec les privilèges root sur le système d’exploitation sous-jacent. En clair, le contrôle total de l’appareil. Son score CVSS de 10,0 est la valeur maximale possible, réservée aux failles à la fois triviales à exploiter et dévastatrices dans leur impact.
La CVE-2026-10523 est un contournement d’authentification (authentication bypass). Elle autorise un attaquant distant non authentifié à créer des comptes administrateurs arbitraires, et donc à obtenir un accès administratif complet à la console. Son score de 9,9 reflète une exploitation tout aussi accessible, avec un impact à peine moindre que la première.
Les chercheurs de watchTowr Labs ont résumé le problème sans détour : l’interface concernée « accepte une commande de quiconque peut l’atteindre sur Internet, sans avoir à s’authentifier au préalable ». C’est la définition même d’une faille pré-authentification, la catégorie la plus redoutée par les défenseurs.
| Identifiant | Type de faille | CVSS | Authentification requise | Impact |
|---|---|---|---|---|
| CVE-2026-10520 | Injection de commande OS | 10,0 | Aucune | Exécution de code root à distance |
| CVE-2026-10523 | Contournement d’authentification | 9,9 | Aucune | Création de comptes admin arbitraires |
Versions touchées et correctifs Ivanti Sentry
Les deux failles affectent exactement le même périmètre de versions. Sont vulnérables : Ivanti Sentry 10.5.1 et antérieures, 10.6.1 et antérieures, ainsi que 10.7.0 et antérieures. Autrement dit, l’intégralité des branches encore en production avant le 9 juin 2026. Aucune branche n’échappe à la consigne de mise à jour.
Bonne nouvelle relative : Ivanti a livré les correctifs le jour même de la divulgation. Les versions corrigées sont 10.5.2, 10.6.2 et 10.7.1, qui remédient simultanément aux deux CVE. Aucune mesure de contournement partielle n’a été proposée : la seule réponse fiable consiste à appliquer le correctif sans délai.
| Branche | Versions vulnérables | Version corrigée | Action recommandée |
|---|---|---|---|
| 10.5.x | 10.5.1 et antérieures | 10.5.2 | Mise à jour immédiate |
| 10.6.x | 10.6.1 et antérieures | 10.6.2 | Mise à jour immédiate |
| 10.7.x | 10.7.0 et antérieures | 10.7.1 | Mise à jour immédiate |
Pour vérifier rapidement la version installée et planifier la mise à jour, les administrateurs peuvent interroger la console d’administration. Toute instance affichant une version inférieure aux correctifs ci-dessus doit être considérée comme exposée, et potentiellement déjà compromise si elle est accessible depuis Internet.
# Verifier la version Sentry et rechercher des comptes admin suspects
# (a executer via la console / acces administrateur autorise)
cat /opt/mi/sentry/VERSION
# Lister les comptes administrateurs recemment crees
grep -i "admin" /var/log/sentry/audit.log | grep "account_created"
# Rechercher des connexions sortantes inhabituelles (signe de porte derobee)
ss -tnp | grep ESTAB | grep -v 127.0.0.1Exploitée en 24 heures : la course contre la montre
Le scénario qui inquiète les équipes de réponse à incident s’est confirmé presque aussitôt. Selon Dark Reading, la CVE-2026-10520 était activement exploitée dans les 24 heures suivant sa divulgation, dès le 10 juin 2026. Le délai entre publication d’un correctif et exploitation de masse se compte désormais en heures, plus en semaines.
La fondation Shadowserver, qui scanne en continu l’Internet à la recherche de systèmes vulnérables, a observé des tentatives d’exploitation contre au moins 19 instances exposées. Deux d’entre elles ont été confirmées comme entièrement compromises, avec une porte dérobée installée. L’organisation a ajouté un avertissement glaçant : toutes les autres instances exposées sont « très probablement compromises elles aussi ».
Le faible nombre d’instances exposées (19) ne doit pas rassurer. Sentry est un produit de niche, déployé par des organisations qui gèrent des flottes mobiles sensibles : administrations, défense, santé, finance. Chaque instance compromise représente un point d’entrée vers un réseau d’entreprise complet et des milliers d’appareils. La valeur par cible est élevée, ce qui explique l’intérêt des attaquants malgré le volume restreint.
Le chaînage des failles : du contournement au root
Pris séparément, chaque CVE est déjà grave. Combinés, ils offrent un chemin d’attaque complet et silencieux. L’analyse de watchTowr Labs décrit le scénario : un attaquant utilise d’abord la CVE-2026-10523 pour créer un compte administrateur sans aucune authentification préalable, puis s’appuie sur la CVE-2026-10520 pour exécuter des commandes au niveau root. À l’inverse, l’injection de commande seule suffit déjà à prendre le contrôle.
Ce chaînage rappelle la mécanique des grandes campagnes Ivanti de 2024 et 2025, où les attaquants combinaient une faille d’accès et une faille d’exécution pour obtenir une persistance durable. Une fois root sur la passerelle, l’attaquant peut intercepter le trafic, déployer une porte dérobée résistante aux redémarrages, et pivoter vers l’annuaire Active Directory de l’organisation.
Pourquoi les passerelles périmétriques sont des cibles privilégiées
Les VPN, passerelles mobiles et autres équipements de bordure partagent un défaut structurel : ils doivent être exposés sur Internet pour fonctionner, tout en disposant d’un accès profond au réseau interne. Ils concentrent donc le maximum d’exposition et le maximum de privilèges. C’est précisément ce qui en fait, depuis 2023, la catégorie de produits la plus ciblée par les groupes étatiques et les opérateurs de rançongiciels.
Le casier d’Ivanti : deux ans de zero-days
La faille Ivanti Sentry de juin 2026 ne sort pas de nulle part. Selon l’agence de cybersécurité de Singapour (CSA), Ivanti a divulgué cinq vulnérabilités sur ses produits sur la période récente, dont quatre activement exploitées par plusieurs acteurs malveillants. Le motif est désormais bien établi.
En 2025, la faille CVE-2025-4427 sur Endpoint Manager Mobile (EPMM) avait déjà donné lieu à des exploitations. Avant cela, les produits Ivanti Connect Secure avaient été au cœur de plusieurs campagnes d’espionnage de grande ampleur. Le schéma se répète : divulgation, correctif, exploitation quasi immédiate, parfois exploitation avant même le correctif.
| Date | Produit Ivanti | Failles clés | Particularité |
|---|---|---|---|
| 2024-2025 | Connect Secure | RCE, contournement | Campagnes d’espionnage étatiques |
| 2025 | Endpoint Manager Mobile | CVE-2025-4427 | Exploitation active |
| Février 2026 | EPMM / produits Ivanti | Zero-days | Institutions européennes visées |
| 9 juin 2026 | Sentry | CVE-2026-10520, CVE-2026-10523 | CVSS 10,0 et 9,9, exploitée en 24 h |
Pour les responsables de la sécurité, cette répétition pose une question de fond : peut-on encore faire confiance à un produit de sécurité dont le code semble systématiquement comporter des failles critiques ? La réponse conditionne des décisions d’achat à plusieurs millions d’euros.
L’angle européen : du Sentry de juin aux brèches de février
L’Europe n’est pas un simple spectateur. En février 2026, des services rattachés à la Commission européenne et au gouvernement néerlandais ont été compromis via des vulnérabilités Ivanti. Ces incidents ont mis en lumière la dépendance des administrations européennes à des équipements de sécurité américains dont la fiabilité est remise en cause.
Le CERT-EU, l’équipe de réponse aux incidents des institutions de l’Union, a réagi à la faille Sentry dès le 9 juin avec son avis 2026-008. Cette réactivité illustre la montée en maturité de la défense cyber européenne, portée par des dispositifs comme l’exercice Cyber Europe 2026 mis en avant par l’ENISA le 11 juin. Mais elle souligne aussi la fréquence à laquelle ces équipes doivent désormais intervenir.
En France, l’ANSSI recommande de longue date une réduction de l’exposition des interfaces d’administration des équipements périmétriques. Les organisations qui ont suivi cette consigne, en plaçant la console Sentry derrière un accès restreint plutôt que directement sur Internet, réduisent considérablement leur surface d’attaque face à ce type de faille pré-authentification.
Impact réglementaire : RGPD, NIS2 et notification
Une compromission de Sentry expose potentiellement des données personnelles : identifiants, contenus de messagerie, fichiers d’entreprise. Pour les organisations européennes, cela déclenche les obligations du RGPD. Une violation doit être notifiée à l’autorité de contrôle, en France la CNIL, dans les 72 heures suivant sa découverte. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
La directive NIS2, désormais transposée dans la plupart des États membres, ajoute une couche d’obligations pour les entités essentielles et importantes : signalement initial sous 24 heures, rapport détaillé sous 72 heures, et mesures de gestion des risques documentées. Une passerelle mobile non corrigée alors qu’un correctif est disponible et qu’une exploitation active est connue constitue précisément le type de négligence que les régulateurs sanctionnent.
Concrètement, une entreprise touchée doit gérer en parallèle l’investigation technique, la notification réglementaire et la communication aux personnes concernées. Le coût ne se limite jamais au correctif : il inclut la reconstruction forensique, l’arrêt potentiel de la passerelle et le risque de sanction financière.
Comparatif : Ivanti face à Fortinet, Citrix et Palo Alto
Ivanti n’est pas seul sur le banc des accusés. Le marché des équipements de bordure a connu une série noire ces dernières années. Fortinet, Citrix, Cisco et Palo Alto ont tous publié des failles critiques activement exploitées. La question pertinente n’est donc pas « qui est parfait » mais « qui réagit le mieux et expose le moins ses clients ».
| Éditeur | Catégorie de produit | Tendance récente des zero-days | Délai correctif observé |
|---|---|---|---|
| Ivanti | Passerelles mobiles / VPN | Très élevée, récurrente | Correctif souvent simultané à la divulgation |
| Fortinet | Pare-feu / FortiOS | Élevée | Variable, parfois hotfix hors cycle |
| Citrix | NetScaler ADC | Élevée | Correctifs critiques fréquents |
| Palo Alto | Pare-feu / GlobalProtect | Modérée à élevée | Réactif |
Le point fort d’Ivanti dans cet épisode est d’avoir livré le correctif dès la divulgation, ce que tous les éditeurs ne font pas. Son point faible est la fréquence : accumuler les failles à score maximal érode la confiance, quelle que soit la vitesse de réaction. Pour un acheteur, la régularité des incidents pèse autant que la qualité de la réponse.
Impact sur le marché et la confiance
Chaque cycle « zero-day Ivanti » alimente un débat plus large sur la sécurité de la chaîne d’approvisionnement logicielle. Les directions de la sécurité réévaluent leurs contrats, certaines envisagent une migration vers des architectures de type zero trust qui réduisent la dépendance aux passerelles périmétriques. Le concept d’accès réseau zero trust (ZTNA) gagne du terrain précisément parce qu’il limite l’exposition d’un point d’entrée unique.
Sur le plan financier, l’effet est diffus mais réel. Un éditeur dont les produits font régulièrement la une pour des failles critiques voit ses cycles de vente s’allonger, ses clients exiger des audits de code, et ses concurrents capitaliser sur la défiance. La sécurité est un marché où la réputation se construit en années et se détruit en heures.
Pour l’écosystème européen, l’épisode renforce les arguments en faveur d’une souveraineté technologique accrue. La Commission a présenté début juin 2026 un paquet sur la souveraineté technologique visant à reprendre le contrôle d’une partie de la pile logicielle. Les failles à répétition sur des produits de sécurité étrangers nourrissent ce discours.
Que faire maintenant : plan d’action pour les administrateurs
Face à une faille pré-authentification activement exploitée, la priorité absolue est de réduire l’exposition avant même de corriger. Voici les étapes recommandées par les équipes de réponse, classées par ordre d’urgence.
- Appliquer immédiatement le correctif (10.5.2, 10.6.2 ou 10.7.1) sur toutes les instances Sentry.
- Si la mise à jour ne peut être appliquée dans l’heure, retirer la console d’administration de l’exposition Internet directe.
- Considérer toute instance exposée non corrigée comme potentiellement compromise et lancer une investigation.
- Rechercher les indicateurs de compromission : comptes administrateurs inconnus, connexions sortantes anormales, modifications de fichiers système.
- Faire pivoter les secrets et identifiants accessibles depuis la passerelle (comptes de service, certificats, jetons).
- Notifier la CNIL et, le cas échéant, l’autorité NIS2 compétente si des données personnelles ont pu être exposées.
La fondation Shadowserver l’a martelé : un correctif appliqué sur une machine déjà compromise ne fait pas disparaître l’attaquant. Le patch ferme la porte, mais si quelqu’un est déjà entré, seule une investigation complète permet de le déloger. C’est la leçon la plus coûteuse des campagnes Ivanti précédentes.
Cinq prédictions pour la suite
À partir des tendances observées sur 2024-2026, voici ce à quoi s’attendre dans les prochains mois.
- Exploitation de masse avant fin juin. Au-delà des 19 instances détectées par Shadowserver, des codes d’exploitation publics circuleront, étendant la campagne à toutes les cibles exposées non corrigées.
- Attribution étatique probable. Comme pour les épisodes Connect Secure et EPMM, une partie de l’exploitation sera vraisemblablement liée à des acteurs étatiques, l’attribution arrivant dans les semaines suivantes.
- Pression réglementaire accrue. L’échéance CISA de trois jours préfigure des délais de correction de plus en plus courts, qui pourraient inspirer les régulateurs européens dans le cadre de NIS2.
- Accélération vers le zero trust. Les organisations multipliant les incidents périmétriques basculeront davantage vers le ZTNA pour réduire la dépendance aux passerelles uniques.
- Audit renforcé des fournisseurs. Les appels d’offres exigeront des preuves de sécurité du cycle de développement, et la récurrence des failles deviendra un critère d’exclusion.
Questions fréquentes sur la faille Ivanti Sentry
Quelles sont les failles Ivanti Sentry de juin 2026 ?
Deux vulnérabilités critiques divulguées le 9 juin 2026 : CVE-2026-10520, une injection de commande système notée 10,0 sur l’échelle CVSS, et CVE-2026-10523, un contournement d’authentification noté 9,9. Les deux permettent à un attaquant distant non authentifié de prendre le contrôle de la passerelle.
Quelles versions d’Ivanti Sentry sont vulnérables ?
Les versions 10.5.1 et antérieures, 10.6.1 et antérieures, ainsi que 10.7.0 et antérieures. Les correctifs sont les versions 10.5.2, 10.6.2 et 10.7.1, publiées le jour de la divulgation.
La faille est-elle déjà exploitée ?
Oui. La CVE-2026-10520 a été exploitée dans les 24 heures suivant sa divulgation. La fondation Shadowserver a confirmé au moins deux instances entièrement compromises et estime que la quasi-totalité des instances exposées non corrigées le sont également.
Que faire si mon instance était exposée sur Internet ?
Considérez-la comme potentiellement compromise. Appliquez le correctif, lancez une investigation à la recherche de comptes administrateurs inconnus et de portes dérobées, faites pivoter les secrets accessibles et notifiez la CNIL si des données personnelles ont pu être consultées.
Pourquoi Ivanti enchaîne-t-il les failles critiques ?
Les produits Ivanti sont des passerelles périmétriques exposées sur Internet et dotées de privilèges élevés, ce qui en fait des cibles de choix. La récurrence des failles, plusieurs activement exploitées sur deux ans, soulève néanmoins des questions sur la rigueur du cycle de développement sécurisé de l’éditeur.
Quel est le risque pour les organisations européennes ?
Élevé. Sentry est déployé par des administrations et des grands groupes gérant des flottes mobiles sensibles. Une compromission expose des données personnelles, déclenche les obligations du RGPD et de NIS2, et peut servir de tremplin vers le réseau interne complet de l’organisation.
Le simple correctif suffit-il à se protéger ?
Pas si l’instance a déjà été compromise. Le correctif ferme la vulnérabilité, mais un attaquant déjà présent conserve son accès via une porte dérobée. Une investigation complète est indispensable pour toute instance ayant été exposée et non corrigée pendant la fenêtre d’exploitation.
Related Coverage
- Cyberattaque Commission européenne : 340 Go volés
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents
- Ransomware en Europe : +44,5 % de victimes
- Cyberattaque infrastructures critiques : 5 aéroports
- Cyber Resilience Act : 15 M€ d’amende
- Stratégie cyber France 2026-2030 : 1 Md€, 5 piliers
Sources et références externes : avis de sécurité CERT-EU 2026-008, analyse technique Rapid7, Help Net Security, Shadowserver Foundation, ANSSI, ENISA.
