{"id":224,"date":"2026-06-18T08:00:00","date_gmt":"2026-06-18T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/18\/cve-2026-0257-palo-alto-globalprotect-exploit\/"},"modified":"2026-06-18T08:00:00","modified_gmt":"2026-06-18T08:00:00","slug":"cve-2026-0257-palo-alto-globalprotect-exploit","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/18\/cve-2026-0257-palo-alto-globalprotect-exploit\/","title":{"rendered":"CVE-2026-0257 : Palo Alto GlobalProtect exploit\u00e9, 8 entreprises sur 10 cibl\u00e9es [2026]"},"content":{"rendered":"\n

Le 13 mai 2026, Palo Alto Networks publiait discr\u00e8tement un avis de s\u00e9curit\u00e9 pour CVE-2026-0257<\/strong>, une vuln\u00e9rabilit\u00e9 d’authentification dans GlobalProtect, son composant VPN d’entreprise int\u00e9gr\u00e9 \u00e0 PAN-OS. Quatre jours plus tard, des attaquants exploitaient d\u00e9j\u00e0 la faille. Le 29 mai, Rapid7 publiait un proof-of-concept fonctionnel et la CISA ajoutait CVE-2026-0257 \u00e0 son catalogue des vuln\u00e9rabilit\u00e9s connues exploit\u00e9es (KEV), avec une deadline de rem\u00e9diation fix\u00e9e au 1er juin pour les agences f\u00e9d\u00e9rales am\u00e9ricaines. Bilan : 8 entreprises sur 10<\/strong> parmi les clients Managed Detection and Response de Rapid7 ont subi des tentatives d’exploitation r\u00e9ussies via des cookies d’authentification falsifi\u00e9s.<\/p>\n\n\n\n

Cette faille illustre un sch\u00e9ma devenu familier dans la s\u00e9curit\u00e9 des acc\u00e8s distants : une vuln\u00e9rabilit\u00e9 dans un \u00e9quipement VPN expos\u00e9 sur internet, une fen\u00eatre d’exploitation de plusieurs jours avant que le secteur ne r\u00e9agisse collectivement, puis une vague d’attaques industrielles d\u00e8s la publication d’un PoC public. Pour les \u00e9quipes s\u00e9curit\u00e9 fran\u00e7aises et europ\u00e9ennes, CVE-2026-0257 est un signal d’alarme suppl\u00e9mentaire sur l’\u00e9tat de la s\u00e9curit\u00e9 p\u00e9rim\u00e9trique des entreprises.<\/p>\n\n\n\n

CVE-2026-0257 : anatomie d’un contournement d’authentification<\/h2>\n\n\n\n

CVE-2026-0257 est une vuln\u00e9rabilit\u00e9 de type authentication bypass<\/strong> dans les composants portal et gateway de GlobalProtect, le service VPN int\u00e9gr\u00e9 \u00e0 PAN-OS, le syst\u00e8me d’exploitation des pare-feux Palo Alto Networks. La faille permet \u00e0 un attaquant distant non authentifi\u00e9 de contourner les contr\u00f4les de s\u00e9curit\u00e9 et d’\u00e9tablir une session VPN non autoris\u00e9e vers le r\u00e9seau interne d’une organisation.<\/p>\n\n\n\n

Le m\u00e9canisme d’attaque repose sur la falsification de cookies d’authentification override<\/strong>. GlobalProtect offre une fonctionnalit\u00e9 permettant de stocker l’\u00e9tat d’authentification d’un utilisateur dans un cookie sign\u00e9 cryptographiquement, afin d’\u00e9viter une nouvelle authentification compl\u00e8te \u00e0 chaque reconnexion. Le probl\u00e8me : lorsque le certificat utilis\u00e9 pour signer ces cookies est le m\u00eame que celui servant au service HTTPS du portal ou du gateway, un attaquant peut forger un cookie valide sans disposer des identifiants de l’utilisateur l\u00e9gitime.<\/p>\n\n\n\n

Selon l’avis officiel de Palo Alto Networks, la vuln\u00e9rabilit\u00e9 n’est exploitable que sous trois conditions simultan\u00e9es : GlobalProtect portal ou gateway est activ\u00e9, les cookies d’authentification override sont activ\u00e9s (configuration non activ\u00e9e par d\u00e9faut), et le m\u00eame certificat est utilis\u00e9 \u00e0 la fois pour le service HTTPS et pour chiffrer\/d\u00e9chiffrer les cookies d’override. Ce dernier point est crucial : de nombreuses installations utilisent un certificat partag\u00e9 pour simplifier la gestion, ce qui les place pr\u00e9cis\u00e9ment dans la fen\u00eatre de vuln\u00e9rabilit\u00e9.<\/p>\n\n\n\n

Le score CVSS a subi une \u00e9volution significative qui refl\u00e8te la rapidit\u00e9 de la prise de conscience. Palo Alto attribuait initialement un score CVSSv4 de 4,7<\/strong> (s\u00e9v\u00e9rit\u00e9 moyenne) lors de la divulgation le 13 mai 2026. Le 29 mai, face \u00e0 la publication du PoC par Rapid7 et aux preuves d’exploitation active, le score a \u00e9t\u00e9 r\u00e9vis\u00e9 \u00e0 7,8 en CVSSv4<\/strong> et \u00e0 9,1 en CVSS 3.1<\/strong> selon l’analyse de la Cloud Security Alliance, refl\u00e9tant l’impact r\u00e9el sur des \u00e9quipements p\u00e9rim\u00e8triques critiques.<\/p>\n\n\n\n

Chronologie : 16 jours entre la divulgation et le catalogue KEV<\/h2>\n\n\n\n

La timeline de CVE-2026-0257 r\u00e9v\u00e8le la fen\u00eatre critique entre la divulgation d’une vuln\u00e9rabilit\u00e9 et l’exploitation industrielle. Chaque organisation qui n’a pas appliqu\u00e9 le patch dans ce d\u00e9lai s’est retrouv\u00e9e expos\u00e9e \u00e0 des acteurs ayant visiblement suivi l’avis de Palo Alto d\u00e8s sa publication.<\/p>\n\n\n\n

Date<\/th>\u00c9v\u00e9nement<\/th>D\u00e9tail<\/th><\/tr><\/thead>
13 mai 2026<\/td>Divulgation publique<\/td>Palo Alto publie l’avis CVE-2026-0257 avec score initial CVSSv4 4,7 et les versions corrig\u00e9es disponibles<\/td><\/tr>
15 mai 2026<\/td>V\u00e9rification de scan<\/td>Rapid7 publie une v\u00e9rification authentifi\u00e9e dans Exposure Command et InsightVM (contenu du 15 mai)<\/td><\/tr>
17 mai 2026<\/td>Premi\u00e8re exploitation confirm\u00e9e<\/td>Rapid7 MDR d\u00e9tecte la premi\u00e8re vague de sondes d’exploitation via cookies falsifi\u00e9s<\/td><\/tr>
21 mai 2026<\/td>Deuxi\u00e8me vague<\/td>Deuxi\u00e8me campagne avec des identifiants d’\u00e9quipements coh\u00e9rents, sugg\u00e9rant un acteur unique<\/td><\/tr>
29 mai 2026<\/td>PoC public + KEV<\/td>Rapid7 publie un PoC fonctionnel ; CISA ajoute CVE-2026-0257 au catalogue KEV ; Palo Alto r\u00e9vise le score CVSS \u00e0 7,8<\/td><\/tr>
1er juin 2026<\/td>Deadline f\u00e9d\u00e9rale<\/td>CISA ordonne aux agences civiles f\u00e9d\u00e9rales am\u00e9ricaines de corriger la faille sous 72 heures<\/td><\/tr>
9 juin 2026<\/td>Threat Brief Unit 42<\/td>Palo Alto Unit 42 publie un bulletin d’exploitation active confirmant l’attaque en cours<\/td><\/tr>
10 juin 2026<\/td>Note de recherche CSA<\/td>Cloud Security Alliance publie une analyse technique d\u00e9taill\u00e9e et recalcule CVSS 3.1 \u00e0 9,1<\/td><\/tr>
15 juin 2026<\/td>Escalade Arctic Wolf<\/td>Arctic Wolf signale une augmentation notable de l’exploitation active en d\u00e9but juin 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La corr\u00e9lation entre les deux vagues d’exploitation (17 et 21 mai) et les identifiants d’\u00e9quipements coh\u00e9rents a conduit les chercheurs de la Cloud Security Alliance \u00e0 \u00e9valuer qu’un acteur unique est probablement \u00e0 l’origine des deux campagnes. L’identit\u00e9 de cet acteur reste inconnue \u00e0 ce jour, aucun groupe n’ayant revendiqu\u00e9 les attaques.<\/p>\n\n\n\n

Versions PAN-OS et Prisma Access affect\u00e9es<\/h2>\n\n\n\n

La vuln\u00e9rabilit\u00e9 touche toutes les branches actives de PAN-OS et les versions correspondantes de Prisma Access. Palo Alto Networks a publi\u00e9 des correctifs pour l’ensemble des branches concern\u00e9es simultan\u00e9ment \u00e0 la divulgation, ce qui signifie que les patches \u00e9taient disponibles d\u00e8s le premier jour.<\/p>\n\n\n\n

Produit \/ Branche<\/th>Versions vuln\u00e9rables<\/th>Version corrig\u00e9e minimale<\/th>Statut<\/th><\/tr><\/thead>
PAN-OS 12.1<\/td>12.1.4 \u00e0 12.1.4-h5 (inclus)<\/td>12.1.4-h6<\/td>Patch disponible<\/td><\/tr>
PAN-OS 11.2<\/td>11.2.0 \u00e0 11.2.11 (inclus)<\/td>11.2.12<\/td>Patch disponible<\/td><\/tr>
PAN-OS 11.1<\/td>11.1.13 \u00e0 11.1.13-h4 (inclus)<\/td>11.1.13-h5<\/td>Patch disponible<\/td><\/tr>
PAN-OS 10.2<\/td>Certaines versions 10.2.x<\/td>Voir advisory officiel<\/td>Patch disponible<\/td><\/tr>
Prisma Access 11.2.0<\/td>Toutes configurations GlobalProtect<\/td>Mise \u00e0 jour automatique<\/td>Mis \u00e0 jour<\/td><\/tr>
Prisma Access 10.2.0<\/td>Toutes configurations GlobalProtect<\/td>Mise \u00e0 jour automatique<\/td>Mis \u00e0 jour<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le p\u00e9rim\u00e8tre d’exposition r\u00e9el d\u00e9pend enti\u00e8rement de la configuration. Palo Alto pr\u00e9cise que les pare-feux PA-Series et VM-Series ex\u00e9cutant PAN-OS, ainsi que les d\u00e9ploiements Prisma Access, sont concern\u00e9s uniquement lorsque GlobalProtect est activ\u00e9 avec les cookies d’override et un certificat partag\u00e9. Pour les organisations qui utilisent GlobalProtect en mode standard sans cookies d’override, la surface d’attaque est nulle. Cette granularit\u00e9 de la condition d’exploitation est \u00e0 double tranchant : elle r\u00e9duit le p\u00e9rim\u00e8tre th\u00e9orique, mais les configurations vuln\u00e9rables sont r\u00e9pandues dans les grands d\u00e9ploiements d’entreprise qui cherchent \u00e0 r\u00e9duire les frictions pour les utilisateurs distants.<\/p>\n\n\n\n

Rapid7 : 8 entreprises sur 10 touch\u00e9es par les sondes d’exploitation<\/h2>\n\n\n\n

Les donn\u00e9es publi\u00e9es par Rapid7 le 29 mai 2026 constituent la mesure d’impact la plus pr\u00e9cise disponible \u00e0 ce stade. L’\u00e9quipe MDR (Managed Detection and Response) de Rapid7 a observ\u00e9 des tentatives d’exploitation r\u00e9ussies chez “de nombreux clients”, avec un taux d’exposition alarmant : 8 des 10 clients MDR impact\u00e9s<\/strong> ont subi une exploitation via des sondes de cookies falsifi\u00e9s, bien que l’appliance ait accept\u00e9 le cookie sans \u00e9tablir une session VPN compl\u00e8te dans la majorit\u00e9 des cas.<\/p>\n\n\n\n

Ce point technique m\u00e9rite une explication pr\u00e9cise. “Exploitation r\u00e9ussie” dans ce contexte signifie que le cookie falsifi\u00e9 a \u00e9t\u00e9 accept\u00e9 par l’\u00e9quipement comme valide, ce qui constitue une preuve que la condition de vuln\u00e9rabilit\u00e9 est r\u00e9unie et que la configuration est exploitable. L’\u00e9quipe de recherche de Rapid7 souligne explicitement : “Une vuln\u00e9rabilit\u00e9 d’authentification bypass dans un \u00e9quipement VPN expos\u00e9 sur le p\u00e9rim\u00e8tre de l’entreprise peut avoir un impact significatif sur les organisations affect\u00e9es. C’est pourquoi les organisations qui utilisent des appliances vuln\u00e9rables sont instamment invit\u00e9es \u00e0 appliquer le patch du fournisseur en urgence.”<\/em><\/p>\n\n\n\n

Rapid7 pr\u00e9cise cependant qu’aucun mouvement lat\u00e9ral n’a \u00e9t\u00e9 d\u00e9tect\u00e9 dans les environnements analys\u00e9s, ce qui sugg\u00e8re que la campagne se trouvait encore dans une phase de reconnaissance et d’inventaire des cibles au moment de la publication du PoC. Ce constat est coh\u00e9rent avec le comportement observ\u00e9 des acteurs APT sophistiqu\u00e9s, qui \u00e9tablissent d’abord une pr\u00e9sence persistante discr\u00e8te avant de lancer des op\u00e9rations plus visibles.<\/p>\n\n\n\n

La donn\u00e9e des 8 entreprises sur 10 touch\u00e9es illustre un probl\u00e8me structurel : m\u00eame avec des patches disponibles d\u00e8s le jour de la divulgation, un volume significatif d’organisations n’a pas appliqu\u00e9 les correctifs dans la fen\u00eatre de 4 jours pr\u00e9c\u00e9dant la premi\u00e8re exploitation. Les raisons sont connues des \u00e9quipes s\u00e9curit\u00e9 : processus de validation interne des patches, fen\u00eatres de maintenance planifi\u00e9es, tests de non-r\u00e9gression sur des \u00e9quipements critiques. Pour les VPN d’entreprise, qui repr\u00e9sentent le point d’entr\u00e9e de milliers d’employ\u00e9s en t\u00e9l\u00e9travail, une coupure non planifi\u00e9e est per\u00e7ue comme inacceptable, ce qui retarde syst\u00e9matiquement l’application des correctifs.<\/p>\n\n\n\n

CISA KEV : l’alerte f\u00e9d\u00e9rale et la deadline du 1er juin<\/h2>\n\n\n\n

L’ajout de CVE-2026-0257 au catalogue Known Exploited Vulnerabilities de la CISA le 29 mai 2026 a d\u00e9clench\u00e9 une obligation formelle pour les agences civiles f\u00e9d\u00e9rales am\u00e9ricaines : corriger la faille avant le 1er juin 2026<\/strong>, soit en moins de 72 heures. Ce d\u00e9lai extr\u00eamement court t\u00e9moigne de la gravit\u00e9 per\u00e7ue par les autorit\u00e9s am\u00e9ricaines et de la pression exerc\u00e9e par les preuves d’exploitation active.<\/p>\n\n\n\n

Le catalogue KEV de la CISA ne s’applique juridiquement qu’aux agences f\u00e9d\u00e9rales am\u00e9ricaines dans le cadre de la Binding Operational Directive BOD 22-01. Mais son influence d\u00e9passe largement ce p\u00e9rim\u00e8tre. Pour les \u00e9quipes s\u00e9curit\u00e9 fran\u00e7aises et europ\u00e9ennes, l’ajout d’une CVE au KEV constitue un signal de priorit\u00e9 de facto : si des attaquants exploitent activement une faille contre des cibles gouvernementales am\u00e9ricaines, les entreprises priv\u00e9es et les administrations europ\u00e9ennes se retrouvent dans la ligne de mire avec un d\u00e9calage de quelques semaines au plus.<\/p>\n\n\n\n

En France, le CERT-FR (Computer Emergency Response Team gouvernemental) suit de pr\u00e8s les avis CISA et publie r\u00e9guli\u00e8rement des alertes de s\u00e9curit\u00e9 corr\u00e9l\u00e9es. CVE-2026-0257 s’inscrit dans les priorit\u00e9s de l’ANSSI, dont la mission inclut explicitement la protection des op\u00e9rateurs d’importance vitale (OIV) et des op\u00e9rateurs de services essentiels (OSE), deux cat\u00e9gories qui font un usage intensif des pare-feux Palo Alto Networks pour leur s\u00e9curit\u00e9 p\u00e9rim\u00e9trique.<\/p>\n\n\n\n

Les organisations fran\u00e7aises soumises \u00e0 la directive NIS2, qui couvre d\u00e9sormais entre 15 000 et 18 000 entit\u00e9s<\/strong> en France (contre environ 500 sous NIS1), ont une obligation de r\u00e9silience qui impose des d\u00e9lais de rem\u00e9diation stricts pour ce type de vuln\u00e9rabilit\u00e9 exploit\u00e9e activement. Le r\u00e9f\u00e9rentiel ReCyF publi\u00e9 par l’ANSSI en mars 2026 pour accompagner la pr\u00e9paration NIS2 des organisations fran\u00e7aises place explicitement la gestion des patches sur les \u00e9quipements p\u00e9rim\u00e8triques parmi les priorit\u00e9s de la phase 2025-2026.<\/p>\n\n\n\n

Unit 42 et Arctic Wolf : deux analyses convergentes sur la menace<\/h2>\n\n\n\n

Palo Alto Networks a publi\u00e9 le 9 juin 2026 un Threat Brief officiel via son \u00e9quipe Unit 42, confirmant l’exploitation active en cours. Le bulletin pr\u00e9cise : “Palo Alto Networks Unit 42 a observ\u00e9 une exploitation active de la vuln\u00e9rabilit\u00e9 PAN-OS CVE-2026-0257 par un acteur mena\u00e7ant non identifi\u00e9 tentant d’acc\u00e9der \u00e0 GlobalProtect. Seule une faible proportion des \u00e9quipements sond\u00e9s a r\u00e9ellement \u00e9tabli des sessions VPN, r\u00e9sultant en des \u00e9v\u00e9nements de connexion gateway.”<\/em><\/p>\n\n\n\n

Cette nuance est importante pour l’analyse du niveau de menace r\u00e9el. Les attaquants ne cherchent pas \u00e0 exploiter tous les \u00e9quipements vuln\u00e9rables indistinctement. La s\u00e9lectivit\u00e9 observ\u00e9e dans les sessions VPN effectivement \u00e9tablies (par opposition aux simples sondes de cookies) sugg\u00e8re un ciblage d\u00e9lib\u00e9r\u00e9 de certaines organisations, probablement apr\u00e8s une phase de reconnaissance pr\u00e9alable pour identifier les cibles \u00e0 haute valeur.<\/p>\n\n\n\n

Arctic Wolf, de son c\u00f4t\u00e9, a publi\u00e9 un avis d\u00e9taill\u00e9 le 15 juin 2026 signalant une augmentation de l’exploitation active en d\u00e9but juin 2026. La firme de s\u00e9curit\u00e9 pr\u00e9cise que la publication du PoC fonctionnel par Rapid7 le 29 mai a consid\u00e9rablement abaiss\u00e9 la barri\u00e8re d’entr\u00e9e pour des acteurs moins sophistiqu\u00e9s : “Nous recommandons fortement aux clients de mettre \u00e0 jour vers la derni\u00e8re version corrig\u00e9e de PAN-OS d\u00e8s que possible.”<\/em> La disponibilit\u00e9 d’un PoC public signifie que la faille n’est plus r\u00e9serv\u00e9e aux acteurs \u00e9tatiques ou aux groupes tr\u00e8s organis\u00e9s : des op\u00e9rateurs de ransomware moins techniques peuvent d\u00e9sormais l’int\u00e9grer dans leurs bo\u00eetes \u00e0 outils d’acc\u00e8s initial.<\/p>\n\n\n\n

La convergence des analyses de Unit 42, Rapid7 et Arctic Wolf \u00e9tablit un consensus clair dans la communaut\u00e9 de la s\u00e9curit\u00e9 : la fen\u00eatre d’exploitation est ouverte, un PoC fonctionnel circule, et les organisations qui n’ont pas encore patch\u00e9 font face \u00e0 un risque en augmentation rapide, pas en diminution.<\/p>\n\n\n\n

Le contexte : les VPN d’entreprise, cibles prioritaires depuis 2024<\/h2>\n\n\n\n

CVE-2026-0257 n’\u00e9merge pas dans un vide. Les \u00e9quipements VPN d’entreprise sont depuis plusieurs ann\u00e9es la cible prioritaire des groupes APT \u00e9tatiques et des op\u00e9rateurs de ransomware, pr\u00e9cis\u00e9ment parce qu’ils offrent un point d’entr\u00e9e direct dans le r\u00e9seau interne sans n\u00e9cessiter la compromission du poste de travail d’un utilisateur. Un acc\u00e8s VPN l\u00e9gitime contourne par d\u00e9finition les solutions de d\u00e9tection r\u00e9seau qui analysent le trafic entrant non authentifi\u00e9.<\/p>\n\n\n\n

Le march\u00e9 des VPN manag\u00e9s d’entreprise atteignait 29,6 milliards de dollars<\/strong> en 2026 selon Persistence Market Research, avec une croissance annuelle de 15,9% projet\u00e9e jusqu’en 2033. Les VPN d’acc\u00e8s distant repr\u00e9sentaient 67,8% de ce march\u00e9<\/strong> en 2025. L’adoption des VPN en entreprise a augment\u00e9 de 44%<\/strong> entre 2021 et 2024, port\u00e9e par la g\u00e9n\u00e9ralisation du t\u00e9l\u00e9travail et des acc\u00e8s hybrides. Cette ubiquit\u00e9 transforme les failles VPN en vecteurs d’attaque \u00e0 rendement \u00e9lev\u00e9 : une seule vuln\u00e9rabilit\u00e9 peut potentiellement toucher des dizaines de milliers d’entreprises dans le monde.<\/p>\n\n\n\n

Palo Alto Networks GlobalProtect est utilis\u00e9 par au moins 825 entreprises v\u00e9rifi\u00e9es<\/strong> selon les donn\u00e9es de Landbase Technologies \u00e0 fin 2025, avec une concentration dans les secteurs finance, sant\u00e9, d\u00e9fense et services professionnels. Ces secteurs sont pr\u00e9cis\u00e9ment ceux qui int\u00e9ressent le plus les groupes APT et les op\u00e9rateurs d’extorsion de donn\u00e9es. Pour les \u00e9quipes s\u00e9curit\u00e9 fran\u00e7aises, le profil d’exposition est particuli\u00e8rement pr\u00e9occupant : les organisations des secteurs soumis \u00e0 DORA dans le secteur financier, ainsi que les entit\u00e9s essentielles et importantes d\u00e9sign\u00e9es sous NIS2, utilisent massivement des \u00e9quipements Palo Alto Networks pour leur s\u00e9curit\u00e9 p\u00e9rim\u00e9trique.<\/p>\n\n\n\n

Comparatif : CVE-2026-0257 et les grandes failles VPN r\u00e9centes<\/h2>\n\n\n\n

Pour situer CVE-2026-0257 dans le panorama des vuln\u00e9rabilit\u00e9s VPN critiques, sa comparaison avec les failles qui ont marqu\u00e9 les \u00e9quipements d’acc\u00e8s distant ces derni\u00e8res ann\u00e9es r\u00e9v\u00e8le un sch\u00e9ma r\u00e9current : divulgation, fen\u00eatre d’inaction, exploitation massive.<\/p>\n\n\n\n

CVE<\/th>Produit<\/th>CVSS max<\/th>Type<\/th>D\u00e9lai exploitation<\/th>KEV CISA<\/th><\/tr><\/thead>
CVE-2026-0257<\/strong><\/td>Palo Alto PAN-OS GlobalProtect<\/td>9,1 (CVSS 3.1)<\/td>Authentication bypass (cookie forgery)<\/td>4 jours<\/strong><\/td>Oui (29 mai 2026)<\/td><\/tr>
CVE-2024-3400<\/td>Palo Alto PAN-OS GlobalProtect (2024)<\/td>10,0<\/td>Injection de commandes OS (RCE)<\/td>0-day (avant patch)<\/td>Oui<\/td><\/tr>
CVE-2025-0108<\/td>Palo Alto PAN-OS (interface de management)<\/td>9,3<\/td>Authentication bypass sans auth<\/td>~7 jours<\/td>Oui<\/td><\/tr>
CVE-2024-55591<\/td>Fortinet FortiOS SSL-VPN<\/td>9,6<\/td>Auth bypass via WebSocket<\/td>0-day (exploitation avant divulgation)<\/td>Oui<\/td><\/tr>
CVE-2025-21590<\/td>Ivanti Connect Secure<\/td>8,2<\/td>Buffer overflow potentiel RCE<\/td>~10 jours<\/td>Oui<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La comparaison avec CVE-2024-3400, qui avait obtenu le score CVSS parfait de 10,0 et permis l’ex\u00e9cution de code arbitraire \u00e0 distance sur les pare-feux Palo Alto, illustre le spectre de criticit\u00e9. CVE-2026-0257 est moins s\u00e9v\u00e8re en termes d’impact technique direct (elle n’offre pas d’ex\u00e9cution de code sur l’appliance), mais la falsification de cookies VPN donne un acc\u00e8s r\u00e9seau suffisant pour une phase de reconnaissance et de mouvement lat\u00e9ral ult\u00e9rieur. Dans le contexte d’une attaque en plusieurs phases, cet acc\u00e8s initial peut suffire \u00e0 compromettre l’int\u00e9gralit\u00e9 d’un r\u00e9seau d’entreprise.<\/p>\n\n\n\n

Le pattern Fortinet FortiOS (CVE-2024-55591), exploit\u00e9 en 0-day avant m\u00eame la publication d’un avis de s\u00e9curit\u00e9, repr\u00e9sente le sc\u00e9nario le plus redout\u00e9. CVE-2026-0257 se situe dans une cat\u00e9gorie moins critique en termes de d\u00e9lai, mais plus pr\u00e9occupante que les vuln\u00e9rabilit\u00e9s avec des fen\u00eatres d’une ou deux semaines.<\/p>\n\n\n\n

Impact march\u00e9 et confiance dans l’\u00e9cosyst\u00e8me Palo Alto<\/h2>\n\n\n\n

Chaque vuln\u00e9rabilit\u00e9 critique dans les produits Palo Alto Networks soul\u00e8ve la m\u00eame question pour les analystes financiers et les RSSI : la r\u00e9p\u00e9tition des failles dans PAN-OS \u00e9rode-t-elle la confiance des entreprises dans la plateforme ? La r\u00e9ponse des march\u00e9s \u00e0 CVE-2026-0257 a \u00e9t\u00e9 mesur\u00e9e, en partie parce que Palo Alto a publi\u00e9 ses correctifs le jour m\u00eame de la divulgation et que l’impact op\u00e9rationnel confirm\u00e9 reste limit\u00e9 (aucun mouvement lat\u00e9ral document\u00e9 publiquement \u00e0 ce stade).<\/p>\n\n\n\n

Palo Alto Networks reste l’un des fournisseurs de r\u00e9f\u00e9rence pour les pare-feux NGFW et les solutions d’acc\u00e8s distant s\u00e9curis\u00e9 \u00e0 l’\u00e9chelle mondiale. La diversification de son portefeuille vers les plateformes SASE (Secure Access Service Edge) et XSIAM (Extended Security Intelligence and Automation Management) lui permet d’amortir partiellement l’impact r\u00e9putationnel des incidents PAN-OS sur site. Pour les clients SASE et Prisma Access, les correctifs sont appliqu\u00e9s automatiquement, \u00e9liminant la fen\u00eatre d’exposition qui affecte les d\u00e9ploiements sur site.<\/p>\n\n\n\n

Pour les clients europ\u00e9ens et fran\u00e7ais, le calcul est plus complexe. Les organisations soumises \u00e0 NIS2 et DORA ont une obligation de documentation des incidents de s\u00e9curit\u00e9. Si une organisation confirme avoir \u00e9t\u00e9 compromise via CVE-2026-0257 avant d’avoir appliqu\u00e9 le patch, elle se retrouve dans une position d\u00e9licate vis-\u00e0-vis des exigences r\u00e9glementaires de notification. Le co\u00fbt r\u00e9putationnel et r\u00e9glementaire d’une telle situation d\u00e9passe largement le co\u00fbt d’une fen\u00eatre de maintenance non planifi\u00e9e pour appliquer un correctif. Cette \u00e9quation pousse les organisations r\u00e9glement\u00e9es \u00e0 traiter les alertes CISA KEV comme des d\u00e9clencheurs automatiques de proc\u00e9dures d’urgence, ind\u00e9pendamment des cycles de maintenance habituels.<\/p>\n\n\n\n

Mesures correctives : patch, contournements et d\u00e9tection<\/h2>\n\n\n\n

Appliquer le patch PAN-OS<\/h3>\n\n\n\n

La rem\u00e9diation d\u00e9finitive consiste \u00e0 mettre \u00e0 jour PAN-OS vers une version corrig\u00e9e. Les versions cibles minimales sont PAN-OS 12.1.4-h6, 11.2.12, et 11.1.13-h5 pour les branches respectives. Les clients Prisma Access b\u00e9n\u00e9ficient de mises \u00e0 jour automatiques. La mise \u00e0 jour PAN-OS n\u00e9cessite une fen\u00eatre de maintenance planifi\u00e9e avec red\u00e9marrage de l’appliance, ce qui repr\u00e9sente g\u00e9n\u00e9ralement une interruption de service de 15 \u00e0 30 minutes selon la configuration et les capacit\u00e9s de haute disponibilit\u00e9 d\u00e9ploy\u00e9es.<\/p>\n\n\n\n

Contournement sans patch imm\u00e9diat<\/h3>\n\n\n\n

Pour les organisations qui ne peuvent pas appliquer le patch imm\u00e9diatement, deux contournements document\u00e9s par Palo Alto r\u00e9duisent la surface d’attaque \u00e0 z\u00e9ro. Le premier consiste \u00e0 d\u00e9sactiver les cookies d’authentification override<\/strong> pour le GlobalProtect Portal et Gateway. Le second, moins perturbateur pour les utilisateurs, consiste \u00e0 utiliser un certificat d\u00e9di\u00e9 et distinct<\/strong> pour signer les cookies d’override, diff\u00e9rent du certificat HTTPS du portal ou gateway. Ce certificat d\u00e9di\u00e9 n’a pas besoin d’\u00eatre \u00e9mis par une autorit\u00e9 de certification reconnue ; il peut \u00eatre g\u00e9n\u00e9r\u00e9 directement dans Panorama comme certificat CA interne, et il doit \u00eatre coh\u00e9rent sur tous les portals et gateways.<\/p>\n\n\n\n

La v\u00e9rification de l’exposition est rapide : si votre d\u00e9ploiement GlobalProtect n’utilise pas les cookies d’authentification override, l’\u00e9quipement n’est pas vuln\u00e9rable. L’audit de la configuration GlobalProtect dans Panorama ou directement sur l’appliance permet de confirmer ce point en moins de 10 minutes.<\/p>\n\n\n\n

Contexte r\u00e9glementaire : NIS2, DORA et obligations de notification en France<\/h2>\n\n\n\n

CVE-2026-0257 arrive dans un contexte r\u00e9glementaire europ\u00e9en particuli\u00e8rement exigeant pour la gestion des incidents. La directive NIS2, dont la transposition fran\u00e7aise est en cours, \u00e9tend consid\u00e9rablement les obligations de cybers\u00e9curit\u00e9 : entre 15 000 et 18 000 organisations fran\u00e7aises<\/strong> entrent dans le p\u00e9rim\u00e8tre, contre environ 500 sous NIS1. Ces entit\u00e9s essentielles et importantes ont une obligation de notification des incidents significatifs dans des d\u00e9lais stricts : alerte initiale dans les 24 heures, notification compl\u00e8te dans les 72 heures.<\/p>\n\n\n\n

Pour les entit\u00e9s du secteur financier, DORA (Digital Operational Resilience Act) applicable depuis janvier 2025 impose des obligations similaires. Le secteur financier europ\u00e9en a d\u00e9clar\u00e9 3 383 incidents TIC<\/strong> depuis l’entr\u00e9e en vigueur de DORA, ce qui illustre l’ampleur du p\u00e9rim\u00e8tre d\u00e9claratif. Une compromission VPN \u00e9tablie via CVE-2026-0257 constitue pr\u00e9cis\u00e9ment le type d’incident “majeur” que DORA cible, avec obligation de notification \u00e0 l’EIOPA, \u00e0 l’EBA ou \u00e0 l’ESMA selon le type d’acteur financier concern\u00e9.<\/p>\n\n\n\n

L’ANSSI a publi\u00e9 le r\u00e9f\u00e9rentiel ReCyF en mars 2026 pour structurer la pr\u00e9paration NIS2 des organisations fran\u00e7aises. Ce r\u00e9f\u00e9rentiel place la gestion des vuln\u00e9rabilit\u00e9s sur les \u00e9quipements p\u00e9rim\u00e8triques parmi les mesures de s\u00e9curit\u00e9 de base attendues dans la phase 2025-2026 d’appropriation. Pour les \u00e9quipes s\u00e9curit\u00e9, CVE-2026-0257 constitue un test grandeur nature de leur capacit\u00e9 \u00e0 r\u00e9pondre aux exigences NIS2 sur la r\u00e9silience op\u00e9rationnelle.<\/p>\n\n\n\n

Pr\u00e9dictions : ce que CVE-2026-0257 pr\u00e9figure pour 2026-2027<\/h2>\n\n\n\n

CVE-2026-0257 s’inscrit dans une tendance de fond qui va s’accentuer. Ses enseignements permettent de formuler cinq pr\u00e9dictions pour les 12 \u00e0 18 prochains mois.<\/p>\n\n\n\n

1. Les \u00e9quipements p\u00e9rim\u00e8triques resteront la cible principale des APT en 2026-2027.<\/strong> Les donn\u00e9es montrent que les groupes APT \u00e9tatiques et les op\u00e9rateurs de ransomware continuent de privil\u00e9gier les VPN et les pare-feux NGFW comme vecteurs d’entr\u00e9e initiaux. La publication r\u00e9guli\u00e8re de PoC fonctionnels par la communaut\u00e9 de recherche, qui servait initialement \u00e0 acc\u00e9l\u00e9rer la rem\u00e9diation, abaisse m\u00e9caniquement la barri\u00e8re d’entr\u00e9e pour des acteurs moins sophistiqu\u00e9s. Cette d\u00e9mocratisation de l’exploitation va s’acc\u00e9l\u00e9rer.<\/p>\n\n\n\n

2. Les d\u00e9lais d’exploitation vont continuer \u00e0 se comprimer.<\/strong> Avec CVE-2026-0257, 4 jours se sont \u00e9coul\u00e9s entre la divulgation et la premi\u00e8re exploitation confirm\u00e9e. CVE-2024-3400 avait \u00e9t\u00e9 exploit\u00e9e en 0-day avant la publication de l’advisory. La tendance est \u00e0 des fen\u00eatres de plus en plus courtes, ce qui rend les processus de patch management traditionnels (cycles mensuels, validation de 2 \u00e0 3 semaines) structurellement inadapt\u00e9s pour les \u00e9quipements p\u00e9rim\u00e8triques.<\/p>\n\n\n\n

3. L’architecture Zero Trust va s’imposer comme r\u00e9ponse structurelle.<\/strong> L’exploitation de cookies d’authentification VPN persistants est exactement le vecteur que le mod\u00e8le Zero Trust vise \u00e0 \u00e9liminer, en imposant une v\u00e9rification continue de l’identit\u00e9 et du contexte plut\u00f4t que de faire confiance \u00e0 un \u00e9tat d’authentification stock\u00e9. Les investissements en architectures SASE et ZTNA (Zero Trust Network Access) vont s’acc\u00e9l\u00e9rer en r\u00e9ponse directe \u00e0 la r\u00e9currence des failles VPN.<\/p>\n\n\n\n

4. Les obligations NIS2 vont acc\u00e9l\u00e9rer la modernisation des VPN d’entreprise en France.<\/strong> La transposition NIS2 en droit fran\u00e7ais, combin\u00e9e aux obligations de gestion des incidents et de r\u00e9silience op\u00e9rationnelle, va pousser les 15 000 \u00e0 18 000 entit\u00e9s concern\u00e9es \u00e0 adopter des processus de patch management automatis\u00e9s et des architectures moins d\u00e9pendantes des \u00e9quipements p\u00e9rim\u00e8triques monolithiques.<\/p>\n\n\n\n

5. Le catalogue KEV de la CISA va devenir une r\u00e9f\u00e9rence normative en Europe.<\/strong> Bien que le KEV soit un outil r\u00e9glementaire am\u00e9ricain, son adoption comme r\u00e9f\u00e9rence de priorisation par les \u00e9quipes SOC europ\u00e9ennes s’acc\u00e9l\u00e8re. On peut anticiper que l’ENISA publie un \u00e9quivalent europ\u00e9en du KEV dans le cadre de la mise en oeuvre de NIS2, ce qui formalisera une pratique d\u00e9j\u00e0 adopt\u00e9e par les meilleures \u00e9quipes s\u00e9curit\u00e9 du continent.<\/p>\n\n\n\n

Articles li\u00e9s<\/h2>\n\n\n\n