{"id":272,"date":"2026-06-20T04:41:28","date_gmt":"2026-06-20T04:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/?p=272"},"modified":"2026-06-20T04:42:51","modified_gmt":"2026-06-20T04:42:51","slug":"ivanti-epmm-zero-day-cve-2026-1340","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/20\/ivanti-epmm-zero-day-cve-2026-1340\/","title":{"rendered":"Ivanti EPMM Zero-Day CVSS 9.8 : 5 Secteurs Cibl\u00e9s [2026]"},"content":{"rendered":"\n

Le 29 janvier 2026<\/strong>, Ivanti a divulgu\u00e9 deux zero-days critiques affectant Endpoint Manager Mobile (EPMM) : CVE-2026-1340<\/strong> et CVE-2026-1281, tous deux not\u00e9s CVSS 9.8 sur 10<\/strong>. Ces failles permettent \u00e0 un attaquant non authentifi\u00e9 d’ex\u00e9cuter du code arbitraire sur le serveur EPMM, ouvrant la voie \u00e0 une compromission totale de la plateforme de gestion des appareils mobiles d’une organisation. L’exploitation \u00e9tait d\u00e9j\u00e0 active avant la publication des correctifs, qualifiant ces failles de vrais zero-days. La Cybersecurity and Infrastructure Security Agency (CISA) a impos\u00e9 aux agences f\u00e9d\u00e9rales am\u00e9ricaines un d\u00e9lai de rem\u00e9diation de seulement 3 jours<\/strong>, une r\u00e9action qui illustre le niveau de danger exceptionnel de cette vuln\u00e9rabilit\u00e9. Unit 42, la division de renseignement sur les menaces de Palo Alto Networks, a document\u00e9 une campagne d’exploitation “g\u00e9n\u00e9ralis\u00e9e” ciblant cinq secteurs critiques dans quatre pays, dont l’Allemagne<\/strong>, seul pays europ\u00e9en nomm\u00e9ment cit\u00e9 dans le rapport initial.<\/p>\n\n\n\n

Cinq mois apr\u00e8s la divulgation, l’analyse compl\u00e8te de la campagne d’exploitation livre des enseignements essentiels pour les \u00e9quipes de s\u00e9curit\u00e9 europ\u00e9ennes. CVE-2026-1340 n’est pas une faille isol\u00e9e : elle s’inscrit dans un historique pr\u00e9occupant de vuln\u00e9rabilit\u00e9s critiques affectant les produits Ivanti depuis 2023. Ce sch\u00e9ma r\u00e9p\u00e9t\u00e9, combin\u00e9 \u00e0 la nature sensible des donn\u00e9es g\u00e9r\u00e9es par EPMM (profils mobiles, certificats d’entreprise, acc\u00e8s r\u00e9seau), fait d’Ivanti une cible de premier choix pour les acteurs malveillants \u00e9tatiques et criminels.<\/p>\n\n\n\n

La menace en chiffres : anatomie de CVE-2026-1340<\/h2>\n\n\n\n

CVE-2026-1340 est une vuln\u00e9rabilit\u00e9 d’injection de code pr\u00e9-authentification<\/strong> dans la fonctionnalit\u00e9 de configuration du transfert de fichiers Android (Android File Transfer Configuration) d’Ivanti EPMM. Le score CVSS v3.1 de 9.8<\/strong> refl\u00e8te une combinaison de facteurs aggravants : aucune authentification requise, aucune interaction utilisateur n\u00e9cessaire, vecteur d’attaque r\u00e9seau accessible depuis Internet, et impact maximal sur la confidentialit\u00e9, l’int\u00e9grit\u00e9 et la disponibilit\u00e9 du syst\u00e8me.<\/p>\n\n\n\n

Le vecteur d’attaque repose sur une requ\u00eate HTTP GET malform\u00e9e envoy\u00e9e vers le chemin \/mifs\/c\/aftstore\/fob\/<\/code> expos\u00e9 par le serveur EPMM. La logique de traitement de cette requ\u00eate int\u00e8gre une construction non s\u00e9curis\u00e9e de commandes shell (Bash), permettant \u00e0 l’attaquant d’injecter des commandes arbitraires qui s’ex\u00e9cutent avec les privil\u00e8ges du processus EPMM, g\u00e9n\u00e9ralement root. L’attaque ne n\u00e9cessite aucun acc\u00e8s pr\u00e9alable au syst\u00e8me cible, aucune connaissance de l’environnement, et peut \u00eatre automatis\u00e9e et scal\u00e9e en quelques secondes.<\/p>\n\n\n\n

Les cons\u00e9quences d’une exploitation r\u00e9ussie sont d\u00e9vastatrices. Ivanti EPMM est le hub de gestion de l’ensemble du parc mobile d’entreprise : il contient les profils de configuration d\u00e9ploy\u00e9s sur des milliers d’appareils, les certificats d’acc\u00e8s aux r\u00e9seaux Wi-Fi et VPN d’entreprise, les politiques de s\u00e9curit\u00e9, les cl\u00e9s d’API, et les identifiants de connexion aux ressources internes. Un attaquant qui compromet le serveur EPMM dispose d’un point de pivot id\u00e9al pour p\u00e9n\u00e9trer l’infrastructure d’entreprise via les appareils mobiles g\u00e9r\u00e9s.<\/p>\n\n\n\n

Versions EPMM affect\u00e9es et statut des correctifs<\/h2>\n\n\n\n

CVE-2026-1340 affecte exclusivement les installations on-premises<\/strong> d’Ivanti EPMM. Les solutions h\u00e9berg\u00e9es dans le cloud (Ivanti Neurons for MDM, Ivanti Sentry) ne sont pas concern\u00e9es. Ivanti a initialement publi\u00e9 des correctifs RPM (hotfixes) pour chaque branche affect\u00e9e le 29 janvier 2026, avant de livrer un correctif permanent int\u00e9gr\u00e9 dans la version 12.8.0.0 au cours du premier trimestre 2026.<\/p>\n\n\n\n

Branche EPMM<\/th>Versions affect\u00e9es<\/th>Statut du correctif<\/th>Risque r\u00e9siduel<\/th><\/tr><\/thead>
12.5.x<\/td>12.5.0.0 et ant\u00e9rieures<\/td>RPM hotfix disponible<\/td>Patch non survivant aux upgrades<\/td><\/tr>
12.5.1.x<\/td>12.5.1.0 et ant\u00e9rieures<\/td>RPM hotfix disponible<\/td>Patch non survivant aux upgrades<\/td><\/tr>
12.6.x<\/td>12.6.0.0 et ant\u00e9rieures<\/td>RPM hotfix disponible<\/td>Patch non survivant aux upgrades<\/td><\/tr>
12.6.1.x<\/td>12.6.1.0 et ant\u00e9rieures<\/td>RPM hotfix disponible<\/td>Patch non survivant aux upgrades<\/td><\/tr>
12.7.x<\/td>12.7.0.0 et ant\u00e9rieures<\/td>RPM hotfix disponible<\/td>Patch non survivant aux upgrades<\/td><\/tr>
12.8.x<\/td>Non affect\u00e9es<\/td>Correctif permanent int\u00e9gr\u00e9<\/td>Aucun<\/td><\/tr>
Ivanti Neurons for MDM<\/td>Non affect\u00e9es (cloud)<\/td>N\/A<\/td>Aucun<\/td><\/tr>
Ivanti Sentry<\/td>Non affect\u00e9es<\/td>N\/A<\/td>Aucun<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

CVE-2026-1281 : la faille jumelle tout aussi critique<\/h2>\n\n\n\n

Divulgu\u00e9e le m\u00eame jour que CVE-2026-1340, CVE-2026-1281<\/strong> affecte une fonctionnalit\u00e9 diff\u00e9rente d’Ivanti EPMM : le syst\u00e8me de distribution d’applications internes (In-House Application Distribution). Son score CVSS est identique : 9.8<\/strong>. Le vecteur d’attaque cible cette fois les requ\u00eates HTTP vers le chemin \/mifs\/c\/appstore\/fob\/<\/code>.<\/p>\n\n\n\n

La CISA a officiellement ajout\u00e9 CVE-2026-1281<\/strong> \u00e0 son catalogue KEV (Known Exploited Vulnerabilities) le 29 janvier 2026, le jour m\u00eame de la divulgation par Ivanti. Ce d\u00e9lai nul entre divulgation et inscription au KEV est rare : il t\u00e9moigne que l’exploitation active avait d\u00e9j\u00e0 \u00e9t\u00e9 confirm\u00e9e par des agences de renseignement avant la publication officielle. La pr\u00e9sence simultan\u00e9e de deux failles CVSS 9.8 dans le m\u00eame produit, exploit\u00e9es de fa\u00e7on concomitante, sugg\u00e8re une campagne d’attaque sophistiqu\u00e9e et planifi\u00e9e, et non une exploitation opportuniste.<\/p>\n\n\n\n

Les deux vuln\u00e9rabilit\u00e9s partagent la m\u00eame cause racine : une construction non s\u00e9curis\u00e9e de commandes Bash dans la logique de traitement de requ\u00eates HTTP. Cette similarit\u00e9 indique que lors de l’audit de s\u00e9curit\u00e9 qui a men\u00e9 \u00e0 la correction, Ivanti a identifi\u00e9 le m\u00eame d\u00e9faut dans deux composants distincts. Pour les \u00e9quipes de s\u00e9curit\u00e9, cela soul\u00e8ve une question importante : combien d’autres fonctionnalit\u00e9s d’EPMM partagent le m\u00eame pattern vuln\u00e9rable ?<\/p>\n\n\n\n

La CISA impose un d\u00e9lai de 3 jours : ce que cela signifie<\/h2>\n\n\n\n

L’inscription de CVE-2026-1281 au catalogue KEV de la CISA le 29 janvier 2026 a d\u00e9clench\u00e9 automatiquement les obligations de la directive op\u00e9rationnelle contraignante BOD 22-01<\/strong>, qui impose aux agences civiles f\u00e9d\u00e9rales am\u00e9ricaines de rem\u00e9dier \u00e0 toute faille KEV dans les d\u00e9lais prescrits. La CISA a fix\u00e9 la date limite de correction au 1er f\u00e9vrier 2026<\/strong>, soit seulement 3 jours<\/strong> apr\u00e8s la divulgation.<\/p>\n\n\n\n

Selon les analystes de Rapid7<\/strong> : “La CISA a accord\u00e9 aux agences f\u00e9d\u00e9rales un d\u00e9lai de rem\u00e9diation de seulement 3 jours, avec obligation de d\u00e9connecter du r\u00e9seau tout appareil vuln\u00e9rable non corrig\u00e9 \u00e0 cette \u00e9ch\u00e9ance. Ce calendrier, parmi les plus courts jamais observ\u00e9s dans l’application de la directive BOD 22-01, refl\u00e8te le niveau de risque exceptionnel \u00e9valu\u00e9 par les agences de renseignement am\u00e9ricaines.”<\/p>\n\n\n\n

Cette urgence s’explique par le profil des organisations utilisant Ivanti EPMM : gouvernements locaux et f\u00e9d\u00e9raux, h\u00f4pitaux, entreprises de d\u00e9fense, infrastructures critiques. Un acc\u00e8s non autoris\u00e9 au serveur EPMM dans ces environnements pourrait permettre l’exfiltration de donn\u00e9es classifi\u00e9es, la compromission de r\u00e9seaux s\u00e9curis\u00e9s, ou le contr\u00f4le d’appareils mobiles utilis\u00e9s par des agents gouvernementaux. La r\u00e9action de la CISA n’est pas une pr\u00e9caution de routine : c’est une r\u00e9ponse \u00e0 une menace active sur des cibles \u00e0 haute valeur.<\/p>\n\n\n\n

Pour les organisations europ\u00e9ennes, aucune obligation r\u00e9glementaire \u00e9quivalente \u00e0 la BOD 22-01 n’existe \u00e0 ce jour au niveau de l’UE. Cependant, la directive NIS2, transpos\u00e9e en droit fran\u00e7ais, impose aux op\u00e9rateurs d’importance vitale (OIV) et aux op\u00e9rateurs de services essentiels (OSE) de g\u00e9rer les vuln\u00e9rabilit\u00e9s critiques dans des d\u00e9lais appropri\u00e9s. Une faille CVSS 9.8 exploit\u00e9e dans la nature constitue clairement une situation d’urgence au sens des exigences NIS2.<\/p>\n\n\n\n

Unit 42 documente une exploitation “g\u00e9n\u00e9ralis\u00e9e” dans 4 pays<\/h2>\n\n\n\n

Unit 42, la division de renseignement sur les menaces de Palo Alto Networks, a suivi la campagne d’exploitation de CVE-2026-1340 et CVE-2026-1281 du 29 janvier au 24 mars 2026<\/strong>, date \u00e0 laquelle l’\u00e9quipe a clos son monitoring actif de la campagne. Les conclusions publi\u00e9es d\u00e9crivent une exploitation qu’Unit 42 qualifie de “g\u00e9n\u00e9ralis\u00e9e”<\/strong>, contrastant avec la communication initiale d’Ivanti \u00e9voquant “un nombre tr\u00e8s limit\u00e9 de clients” affect\u00e9s.<\/p>\n\n\n\n

Les chercheurs d’Unit 42 ont d\u00e9clar\u00e9 : “Notre analyse confirme que l’exploitation de CVE-2026-1340 et CVE-2026-1281 est g\u00e9n\u00e9ralis\u00e9e et touche plusieurs secteurs critiques dans plusieurs pays, dont l’Allemagne, les \u00c9tats-Unis, l’Australie et le Canada. Les attaquants d\u00e9ploient syst\u00e9matiquement des web shells sur les serveurs EPMM compromis, assurant une persistance post-exploitation qui permet des acc\u00e8s r\u00e9p\u00e9t\u00e9s m\u00eame apr\u00e8s l’application des correctifs temporaires.”<\/p>\n\n\n\n

Le d\u00e9ploiement de web shells est particuli\u00e8rement pr\u00e9occupant. Un web shell est un script malveillant d\u00e9pos\u00e9 sur le serveur compromis, permettant \u00e0 l’attaquant d’ex\u00e9cuter des commandes \u00e0 distance via des requ\u00eates HTTP ordinaires, rendant la d\u00e9tection difficile dans les flux r\u00e9seau l\u00e9gitimes. Sa pr\u00e9sence sur un serveur EPMM signifie que l’attaquant maintient un acc\u00e8s persistant ind\u00e9pendamment du statut du patch : corriger la vuln\u00e9rabilit\u00e9 initiale ne suffit pas \u00e0 \u00e9liminer un adversaire d\u00e9j\u00e0 pr\u00e9sent dans le syst\u00e8me.<\/p>\n\n\n\n

L’analyse des chemins d’attaque r\u00e9v\u00e8le que les acteurs de la menace ont cibl\u00e9 en priorit\u00e9 les serveurs EPMM accessibles directement depuis Internet, sans VPN ni contr\u00f4le d’acc\u00e8s r\u00e9seau interm\u00e9diaire. Cette exposition directe, courante dans les d\u00e9ploiements qui permettent aux \u00e9quipes IT de g\u00e9rer les appareils mobiles \u00e0 distance, constitue le facteur de risque principal. Les serveurs EPMM prot\u00e9g\u00e9s derri\u00e8re des contr\u00f4les d’acc\u00e8s r\u00e9seau stricts n’ont pas \u00e9t\u00e9 concern\u00e9s par cette vague d’exploitation.<\/p>\n\n\n\n

Cinq secteurs critiques cibl\u00e9s par les attaquants<\/h2>\n\n\n\n

Unit 42 a identifi\u00e9 cinq secteurs d’activit\u00e9 prioritairement vis\u00e9s par la campagne d’exploitation de CVE-2026-1340 dans les quatre pays document\u00e9s. Cette r\u00e9partition sectorielle \u00e9claire la nature des acteurs derri\u00e8re la campagne : les cibles ne sont pas choisies au hasard, mais correspondent \u00e0 des organisations susceptibles de d\u00e9tenir des donn\u00e9es de haute valeur ou d’offrir un acc\u00e8s \u00e0 des infrastructures strat\u00e9giques.<\/p>\n\n\n\n

  • Gouvernements locaux et r\u00e9gionaux<\/strong> : les administrations territoriales utilisent massivement des solutions MDM pour g\u00e9rer les appareils mobiles de leurs agents. Un acc\u00e8s EPMM permet de cibler des r\u00e9seaux gouvernementaux souvent moins bien prot\u00e9g\u00e9s que les r\u00e9seaux f\u00e9d\u00e9raux centraux.<\/li>
  • Secteur de la sant\u00e9<\/strong> : h\u00f4pitaux et \u00e9tablissements de soins g\u00e8rent des milliers d’appareils mobiles contenant des dossiers patients. La compromission de l’EPMM ouvre l’acc\u00e8s aux syst\u00e8mes d’information hospitaliers.<\/li>
  • Industrie manufacturi\u00e8re<\/strong> : les fabricants, notamment dans les secteurs automobile et a\u00e9ronautique, utilisent EPMM pour les \u00e9quipes terrain. L’acc\u00e8s aux r\u00e9seaux OT (technologies op\u00e9rationnelles) constitue l’enjeu principal.<\/li>
  • Services professionnels et juridiques<\/strong> : cabinets d’avocats, consultants et auditeurs traitent des donn\u00e9es confidentielles de clients. Leurs syst\u00e8mes EPMM donnent acc\u00e8s \u00e0 des communications et documents sensibles.<\/li>
  • Technologies de l’information<\/strong> : les entreprises tech elles-m\u00eames constituent des cibles d’int\u00e9r\u00eat pour l’espionnage industriel et la compromission de la cha\u00eene d’approvisionnement logicielle.<\/li><\/ul>\n\n\n\n

    La pr\u00e9sence de l’Allemagne dans la liste des pays touch\u00e9s est significative pour l’Europe. L’Allemagne concentre un nombre important d’entreprises manufacturi\u00e8res, de PME industrielles et d’administrations r\u00e9gionales utilisant Ivanti EPMM dans des d\u00e9ploiements on-premises. Les \u00e9quipes de s\u00e9curit\u00e9 fran\u00e7aises op\u00e9rant dans ces m\u00eames secteurs doivent consid\u00e9rer que leurs homologues allemands ont \u00e9t\u00e9 cibl\u00e9s et \u00e9valuer leur exposition avec la m\u00eame urgence.<\/p>\n\n\n\n

    Exposition en Europe : des centaines de serveurs potentiellement vuln\u00e9rables<\/h2>\n\n\n\n

    Les analyses de surface d’attaque men\u00e9es par plusieurs fournisseurs de s\u00e9curit\u00e9 r\u00e9v\u00e8lent que des centaines de serveurs Ivanti EPMM restent directement expos\u00e9s sur Internet en Europe. Ces serveurs repr\u00e9sentent autant de cibles potentielles pour les acteurs de la menace qui, depuis la publication de preuves de concept (PoC) d’exploitation, disposent d’outils d’attaque automatis\u00e9s.<\/p>\n\n\n\n

    Selon les chercheurs de Horizon3.ai<\/strong> : “Un attaquant ayant exploit\u00e9 CVE-2026-1340 peut compromettre l’int\u00e9gralit\u00e9 du serveur EPMM, acc\u00e9der sans restriction aux donn\u00e9es de l’ensemble des appareils mobiles g\u00e9r\u00e9s, et se d\u00e9placer lat\u00e9ralement vers les syst\u00e8mes d’entreprise connect\u00e9s. Le niveau de contr\u00f4le obtenu est \u00e9quivalent \u00e0 celui d’un administrateur l\u00e9gitime de l’infrastructure MDM.”<\/p>\n\n\n\n

    Pour les organisations fran\u00e7aises, le risque est direct. La France compte plusieurs centaines d’entreprises et d’administrations ayant d\u00e9ploy\u00e9 Ivanti EPMM dans des configurations on-premises. Les OIV (op\u00e9rateurs d’importance vitale) qui utilisent cette solution sont particuli\u00e8rement expos\u00e9s : la compromission de leur serveur EPMM pourrait permettre d’acc\u00e9der \u00e0 des r\u00e9seaux classifi\u00e9s via les appareils mobiles g\u00e9r\u00e9s. L’ANSSI n’a pas publi\u00e9 d’avis sp\u00e9cifique sur CVE-2026-1340, mais les organisations fran\u00e7aises restent soumises aux obligations de gestion des vuln\u00e9rabilit\u00e9s critiques impos\u00e9es par la directive NIS2 et ses textes de transposition.<\/p>\n\n\n\n

    Un historique pr\u00e9occupant : Ivanti EPMM, cible r\u00e9p\u00e9t\u00e9e depuis 2023<\/h2>\n\n\n\n

    CVE-2026-1340 n’est pas une anomalie dans l’histoire d’Ivanti EPMM. Depuis 2023, le produit a concentr\u00e9 une s\u00e9rie de vuln\u00e9rabilit\u00e9s critiques, dont plusieurs ont \u00e9t\u00e9 exploit\u00e9es activement avant m\u00eame la publication des correctifs. Ce sch\u00e9ma r\u00e9p\u00e9t\u00e9 soul\u00e8ve des questions fondamentales sur les pratiques de d\u00e9veloppement s\u00e9curis\u00e9 (Secure Development Lifecycle) chez Ivanti et sur la pertinence du choix de d\u00e9ploiements EPMM on-premises expos\u00e9s \u00e0 Internet pour des organisations sensibles.<\/p>\n\n\n\n

    En juillet 2023<\/strong>, CVE-2023-35078 avait \u00e9tabli un pr\u00e9c\u00e9dent alarmant : une faille d’authentification dans Ivanti EPMM avait obtenu un score CVSS 10.0<\/strong>, le maximum possible. Exploit\u00e9e par des acteurs li\u00e9s \u00e0 des \u00c9tats-nations, elle avait notamment servi \u00e0 compromettre des r\u00e9seaux gouvernementaux norv\u00e9giens. La Norv\u00e8ge avait \u00e9t\u00e9 la premi\u00e8re victime document\u00e9e, mais l’exploitation s’\u00e9tait rapidement \u00e9tendue \u00e0 d’autres pays europ\u00e9ens. Cette faille avait \u00e9t\u00e9 encha\u00een\u00e9e avec CVE-2023-35081, une vuln\u00e9rabilit\u00e9 de travers\u00e9e de chemin (path traversal) dans le m\u00eame produit.<\/p>\n\n\n\n

    En 2025<\/strong>, deux nouvelles failles avaient refait surface dans EPMM : CVE-2025-4427 (contournement d’authentification) et CVE-2025-4428 (ex\u00e9cution de code \u00e0 distance), que des attaquants avaient combin\u00e9es pour obtenir un acc\u00e8s non authentifi\u00e9 aux serveurs EPMM. Ces vuln\u00e9rabilit\u00e9s de 2025, moins graves individuellement que celles de 2023 et 2026, montraient n\u00e9anmoins que le processus de r\u00e9vision du code d’Ivanti n’avait pas \u00e9limin\u00e9 les causes racines des vuln\u00e9rabilit\u00e9s r\u00e9currentes.<\/p>\n\n\n\n

    CVE<\/th>Ann\u00e9e<\/th>Type de faille<\/th>CVSS<\/th>Exploitation active<\/th><\/tr><\/thead>
    CVE-2023-35078<\/td>2023<\/td>Contournement d’authentification EPMM<\/td>10.0<\/td>Oui (gouvernements europ\u00e9ens)<\/td><\/tr>
    CVE-2023-35081<\/td>2023<\/td>Travers\u00e9e de chemin EPMM<\/td>7.2<\/td>Oui (encha\u00een\u00e9 avec CVE-2023-35078)<\/td><\/tr>
    CVE-2025-4427<\/td>2025<\/td>Contournement d’authentification EPMM<\/td>5.3<\/td>Oui (encha\u00een\u00e9 avec CVE-2025-4428)<\/td><\/tr>
    CVE-2025-4428<\/td>2025<\/td>Ex\u00e9cution de code \u00e0 distance EPMM<\/td>7.2<\/td>Oui (encha\u00een\u00e9 avec CVE-2025-4427)<\/td><\/tr>
    CVE-2026-1281<\/td>2026<\/td>Injection de code pr\u00e9-auth EPMM<\/td>9.8<\/td>Oui (zero-day, CISA KEV)<\/td><\/tr>
    CVE-2026-1340<\/td>2026<\/td>Injection de code pr\u00e9-auth EPMM<\/td>9.8<\/td>Oui (exploitation g\u00e9n\u00e9ralis\u00e9e)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    L’analyse de ce tableau r\u00e9v\u00e8le une trajectoire inqui\u00e9tante : en moins de 3 ans, Ivanti EPMM a accumul\u00e9 6 vuln\u00e9rabilit\u00e9s critiques ou \u00e9lev\u00e9es, toutes exploit\u00e9es dans la nature avant ou imm\u00e9diatement apr\u00e8s la divulgation. Cette concentration est statistiquement anormale et indique soit des d\u00e9fauts structurels dans l’architecture du produit, soit des pratiques de revue de code insuffisantes, soit les deux.<\/p>\n\n\n\n

    Comment d\u00e9tecter une compromission post-CVE-2026-1340<\/h2>\n\n\n\n

    La d\u00e9tection d’une compromission via CVE-2026-1340 n\u00e9cessite une analyse proactive des logs et de l’\u00e9tat du serveur EPMM. Les indicateurs de compromission (IOC) document\u00e9s par les chercheurs de s\u00e9curit\u00e9 permettent aux \u00e9quipes de r\u00e9ponse aux incidents d’identifier si un serveur a \u00e9t\u00e9 cibl\u00e9, m\u00eame si l’exploitation initiale date de plusieurs semaines.<\/p>\n\n\n\n

    Les premiers \u00e9l\u00e9ments \u00e0 v\u00e9rifier dans les logs du serveur EPMM sont les requ\u00eates HTTP GET vers les chemins \/mifs\/c\/aftstore\/fob\/<\/code> (CVE-2026-1340) et \/mifs\/c\/appstore\/fob\/<\/code> (CVE-2026-1281). Des requ\u00eates inhabituelles vers ces endpoints, en particulier celles incluant des caract\u00e8res sp\u00e9ciaux ou des s\u00e9quences d’\u00e9chappement shell, sont des signaux d’alerte. Les tentatives d’exploitation g\u00e9n\u00e8rent des patterns reconnaissables dans les logs d’acc\u00e8s web.<\/p>\n\n\n\n

    Au-del\u00e0 des logs, les \u00e9quipes doivent rechercher sur le serveur des fichiers r\u00e9cents inexpliqu\u00e9s, en particulier dans les r\u00e9pertoires web accessibles via HTTP : des web shells se pr\u00e9sentent souvent comme des fichiers PHP ou JSP avec des noms anodins. La pr\u00e9sence de nouveaux comptes administrateurs EPMM non cr\u00e9\u00e9s par l’\u00e9quipe IT, de modifications de configuration non document\u00e9es, ou d’activit\u00e9s de d\u00e9couverte r\u00e9seau depuis le serveur EPMM sont d’autres indicateurs d’une compromission active.<\/p>\n\n\n\n

    Les chercheurs d’Arctic Wolf<\/strong> soulignent : “Ivanti a confirm\u00e9 avoir observ\u00e9 une exploitation active dans des environnements clients avant m\u00eame la divulgation publique du 29 janvier 2026. Toute organisation op\u00e9rant un serveur EPMM on-premises accessible depuis Internet doit consid\u00e9rer qu’une compromission est possible et mener une investigation forensique, m\u00eame si le patch a \u00e9t\u00e9 appliqu\u00e9 rapidement.”<\/p>\n\n\n\n

    Les limites du correctif RPM d’Ivanti<\/h2>\n\n\n\n

    La r\u00e9ponse initiale d’Ivanti s’est appuy\u00e9e sur des correctifs RPM (hotfixes), sp\u00e9cifiques \u00e0 chaque branche de version, publi\u00e9s le 29 janvier 2026. Cette approche, bien que rapide, pr\u00e9sente une limitation critique document\u00e9e par les chercheurs d’eSentire<\/strong> : “Les correctifs RPM fournis par Ivanti sont sp\u00e9cifiques \u00e0 chaque version et ne survivent pas \u00e0 une mise \u00e0 niveau du produit<\/strong>. Les administrateurs qui appliquent le hotfix puis proc\u00e8dent \u00e0 une mont\u00e9e de version d’EPMM perdent silencieusement la protection et doivent r\u00e9appliquer manuellement le correctif adapt\u00e9 \u00e0 la nouvelle version.”<\/p>\n\n\n\n

    Ce comportement cr\u00e9e un risque de r\u00e9introduction de la vuln\u00e9rabilit\u00e9 dans des environnements qui pensaient \u00eatre prot\u00e9g\u00e9s. Une organisation ayant patch\u00e9 son EPMM 12.6 en janvier, puis mis \u00e0 jour vers 12.7 en mars sans r\u00e9appliquer le hotfix, se retrouverait \u00e0 nouveau expos\u00e9e \u00e0 CVE-2026-1340 plusieurs semaines apr\u00e8s avoir cru avoir r\u00e9solu le probl\u00e8me.<\/p>\n\n\n\n

    Le correctif permanent a \u00e9t\u00e9 int\u00e9gr\u00e9 dans EPMM 12.8.0.0<\/strong>, livr\u00e9 au cours du premier trimestre 2026. Pour les organisations n’ayant pas encore migr\u00e9 vers cette version ou une version ult\u00e9rieure, le risque de perte silencieuse du patch apr\u00e8s une mise \u00e0 jour interm\u00e9diaire reste pr\u00e9sent. La recommandation prioritaire est de migrer directement vers EPMM 12.8.0.0 ou sup\u00e9rieur, ou de v\u00e9rifier syst\u00e9matiquement apr\u00e8s chaque mise \u00e0 jour que le hotfix est toujours actif.<\/p>\n\n\n\n

    Analyse strat\u00e9gique : pourquoi EPMM est une cible de choix<\/h2>\n\n\n\n

    La r\u00e9currence des vuln\u00e9rabilit\u00e9s critiques dans Ivanti EPMM r\u00e9v\u00e8le un probl\u00e8me structurel qui va au-del\u00e0 de simples bugs corrigibles. EPMM est un produit h\u00e9rit\u00e9 (anciennement MobileIron Core, acquis par Ivanti en 2020), construit sur une architecture web qui date de l’\u00e8re pr\u00e9-HTTPS g\u00e9n\u00e9ralis\u00e9 et qui porte les marques d’un historique de code complexe. Les fonctionnalit\u00e9s critiques comme le transfert de fichiers Android (CVE-2026-1340) ou la distribution d’applications internes (CVE-2026-1281) semblent partager des patterns d’impl\u00e9mentation similaires dans leur traitement des requ\u00eates HTTP.<\/p>\n\n\n\n

    Pour les acteurs de la menace, EPMM repr\u00e9sente une cible particuli\u00e8rement attractive pour trois raisons. Premi\u00e8rement, un seul serveur compromis donne acc\u00e8s \u00e0 l’ensemble du parc mobile d’une organisation, potentiellement des milliers d’appareils. Deuxi\u00e8mement, EPMM g\u00e8re des certificats et des profils d’acc\u00e8s qui peuvent \u00eatre r\u00e9utilis\u00e9s pour p\u00e9n\u00e9trer d’autres syst\u00e8mes d’entreprise. Troisi\u00e8mement, les administrateurs EPMM ont tendance \u00e0 exposer leurs serveurs directement sur Internet pour permettre la gestion des appareils mobiles hors du r\u00e9seau d’entreprise, sans n\u00e9cessairement appliquer les m\u00eames contr\u00f4les de s\u00e9curit\u00e9 r\u00e9seau que pour d’autres serveurs critiques.<\/p>\n\n\n\n

    L’ENISA<\/strong>, l’agence europ\u00e9enne pour la cybers\u00e9curit\u00e9, a identifi\u00e9 les plateformes de gestion des appareils mobiles comme une surface d’attaque prioritaire dans son panorama des menaces pour les infrastructures critiques. La tendance vers le travail hybride, acc\u00e9l\u00e9r\u00e9e depuis 2020, a massivement augment\u00e9 le nombre de serveurs MDM\/EPMM accessibles depuis Internet sans protection r\u00e9seau ad\u00e9quate.<\/p>\n\n\n\n

    5 pr\u00e9dictions pour les 6 prochains mois<\/h2>\n\n\n\n

    Sur la base des patterns observ\u00e9s avec CVE-2026-1340 et des tendances de fond du march\u00e9, cinq \u00e9volutions probables se dessinent pour le second semestre 2026 :<\/p>\n\n\n\n

    1. Nouvelles CVE critiques dans Ivanti EPMM d’ici fin 2026.<\/strong> La r\u00e9currence des failles (2023, 2025, 2026) et la cause racine commune (construction non s\u00e9curis\u00e9e de commandes dans le traitement HTTP) laissent pr\u00e9sager que des variantes non encore d\u00e9couvertes existent dans d’autres fonctionnalit\u00e9s du produit. Un audit de code approfondi mandat\u00e9 par Ivanti ou r\u00e9alis\u00e9 par des chercheurs tiers devrait r\u00e9v\u00e9ler de nouvelles surfaces vuln\u00e9rables.<\/li>
    2. Acc\u00e9l\u00e9ration de la migration vers les MDM cloud.<\/strong> Face \u00e0 l’historique de CVE critiques dans les d\u00e9ploiements on-premises, les RSSI europ\u00e9ens vont acc\u00e9l\u00e9rer leur migration vers des solutions MDM h\u00e9berg\u00e9es dans le cloud (Ivanti Neurons for MDM, Microsoft Intune, Jamf) qui ne sont pas expos\u00e9es aux m\u00eames vecteurs d’attaque r\u00e9seau.<\/li>
    3. Publication d’un avis ANSSI ou ENISA sp\u00e9cifique aux solutions MDM.<\/strong> La cible r\u00e9p\u00e9t\u00e9e qu’est devenu Ivanti EPMM devrait pousser les agences de cybers\u00e9curit\u00e9 europ\u00e9ennes \u00e0 publier des recommandations formelles sur la s\u00e9curisation des solutions MDM on-premises, incluant des exigences de protection r\u00e9seau et des d\u00e9lais de patch.<\/li>
    4. Attribution de campagnes \u00e0 des acteurs \u00e9tatiques d’Asie de l’Est.<\/strong> Le profil des cibles (gouvernements, industrie de d\u00e9fense, haute technologie) et la sophistication des techniques post-exploitation (web shells persistants, d\u00e9placement lat\u00e9ral) correspondent aux TTP (tactiques, techniques et proc\u00e9dures) des groupes APT affili\u00e9s \u00e0 des \u00c9tats-nations. Une attribution formelle par des agences de renseignement occidentales est probable d’ici fin 2026.<\/li>
    5. Int\u00e9gration des exigences de patch MDM dans le cadre NIS2 en France.<\/strong> Les autorit\u00e9s de contr\u00f4le NIS2 fran\u00e7aises vont probablement inclure la gestion des vuln\u00e9rabilit\u00e9s dans les solutions MDM et UEM dans leurs exigences de contr\u00f4le pour les OIV et OSE, au m\u00eame titre que les pare-feux et les VPN.<\/li><\/ol>\n\n\n\n

      Que faire maintenant : guide de protection<\/h2>\n\n\n\n

      Pour les organisations utilisant Ivanti EPMM, les actions prioritaires sont les suivantes, class\u00e9es par urgence :<\/p>\n\n\n\n

      Imm\u00e9diat (sous 24 heures) :<\/strong> V\u00e9rifier la version d’EPMM d\u00e9ploy\u00e9e et son exposition r\u00e9seau. Toute instance EPMM accessible directement depuis Internet doit \u00eatre consid\u00e9r\u00e9e comme potentiellement compromise si elle n’a pas \u00e9t\u00e9 mise \u00e0 jour vers 12.8.0.0 ou si le hotfix RPM n’a pas \u00e9t\u00e9 appliqu\u00e9 et v\u00e9rifi\u00e9. Auditer les logs \u00e0 la recherche de requ\u00eates suspectes vers \/mifs\/c\/aftstore\/fob\/<\/code> et \/mifs\/c\/appstore\/fob\/<\/code>.<\/p>\n\n\n\n

      Court terme (sous 7 jours) :<\/strong> Planifier la migration vers EPMM 12.8.0.0 ou sup\u00e9rieur pour b\u00e9n\u00e9ficier du correctif permanent. Mettre en place des r\u00e8gles IDS\/IPS pour d\u00e9tecter les tentatives d’exploitation des chemins vuln\u00e9rables. Revoir l’architecture r\u00e9seau pour prot\u00e9ger le serveur EPMM derri\u00e8re un VPN ou des contr\u00f4les d’acc\u00e8s r\u00e9seau, \u00e9liminant son exposition directe \u00e0 Internet.<\/p>\n\n\n\n

      Moyen terme (sous 30 jours) :<\/strong> \u00c9valuer la pertinence d’une migration vers une solution MDM cloud (Ivanti Neurons for MDM, Microsoft Intune ou \u00e9quivalent) pour \u00e9liminer structurellement la surface d’attaque on-premises. R\u00e9aliser un inventaire des certificats et profils g\u00e9r\u00e9s par EPMM et proc\u00e9der \u00e0 leur rotation si une compromission ne peut \u00eatre exclue.<\/p>\n\n\n\n

      Questions fr\u00e9quentes sur CVE-2026-1340<\/h2>\n\n\n\n

      Ivanti Neurons for MDM est-il affect\u00e9 par CVE-2026-1340 ?<\/strong>
      Non. CVE-2026-1340 affecte uniquement les installations on-premises d’Ivanti EPMM. Les solutions h\u00e9berg\u00e9es dans le cloud par Ivanti (Neurons for MDM) et Ivanti Sentry ne sont pas concern\u00e9es.<\/p>\n\n\n\n

      Le correctif RPM suffit-il \u00e0 prot\u00e9ger mon serveur EPMM ?<\/strong>
      Le correctif RPM est une mesure d’att\u00e9nuation temporaire qui ne survit pas aux mises \u00e0 jour de version. La protection d\u00e9finitive n\u00e9cessite la migration vers EPMM 12.8.0.0 ou une version ult\u00e9rieure, qui int\u00e8gre le correctif permanent.<\/p>\n\n\n\n

      Comment savoir si mon serveur EPMM a \u00e9t\u00e9 compromis ?<\/strong>
      Analyser les logs d’acc\u00e8s HTTP pour des requ\u00eates vers \/mifs\/c\/aftstore\/fob\/<\/code> ou \/mifs\/c\/appstore\/fob\/<\/code>. Rechercher des fichiers r\u00e9cents inexpliqu\u00e9s sur le serveur, en particulier dans les r\u00e9pertoires web accessibles. V\u00e9rifier la pr\u00e9sence de nouveaux comptes administrateurs non autoris\u00e9s et d’activit\u00e9s r\u00e9seau anormales depuis le serveur EPMM.<\/p>\n\n\n\n

      La faille CVE-2026-1340 n\u00e9cessite-t-elle une authentification pr\u00e9alable ?<\/strong>
      Non. CVE-2026-1340 est une faille pr\u00e9-authentification : l’attaquant n’a besoin d’aucun identifiant valide pour exploiter la vuln\u00e9rabilit\u00e9 et ex\u00e9cuter du code arbitraire sur le serveur EPMM.<\/p>\n\n\n\n

      Ivanti EPMM est-il encore un produit recommandable pour les organisations europ\u00e9ennes ?<\/strong>
      La d\u00e9cision appartient aux RSSI de chaque organisation. Le bilan des 3 derni\u00e8res ann\u00e9es (6 CVE critiques ou \u00e9lev\u00e9es, toutes exploit\u00e9es activement) justifie une r\u00e9\u00e9valuation s\u00e9rieuse, notamment pour les organisations qui n’ont pas les ressources pour appliquer les patches d’urgence dans des d\u00e9lais tr\u00e8s courts. Les solutions MDM cloud pr\u00e9sentent une surface d’attaque structurellement r\u00e9duite.<\/p>\n\n\n\n

      Quelles organisations fran\u00e7aises sont les plus expos\u00e9es ?<\/strong>
      Les organisations ayant d\u00e9ploy\u00e9 Ivanti EPMM on-premises avec exposition directe sur Internet dans les secteurs de la sant\u00e9, des collectivit\u00e9s territoriales, de l’industrie et des services professionnels sont les plus expos\u00e9es. Les OIV utilisant EPMM doivent traiter cette vuln\u00e9rabilit\u00e9 avec la m\u00eame urgence que la CISA l’a impos\u00e9 aux agences f\u00e9d\u00e9rales am\u00e9ricaines.<\/p>\n\n\n\n

      Couverture connexe<\/h2>\n\n\n\n

      Pour approfondir votre compr\u00e9hension des menaces pesant sur les infrastructures d’entreprise europ\u00e9ennes :<\/p>\n\n\n\n