{"id":277,"date":"2026-06-20T08:00:00","date_gmt":"2026-06-20T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/20\/moveit-cve-2026-4670-cvss-9-8\/"},"modified":"2026-06-20T08:00:00","modified_gmt":"2026-06-20T08:00:00","slug":"moveit-cve-2026-4670-cvss-9-8","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/20\/moveit-cve-2026-4670-cvss-9-8\/","title":{"rendered":"MOVEit CVE-2026-4670 : CVSS 9.8, 3 000 Entreprises en Alerte [2026]"},"content":{"rendered":"\n

Le 30 avril 2026, Progress Software a divulgu\u00e9 deux vuln\u00e9rabilit\u00e9s critiques dans MOVEit Automation<\/strong>, le moteur de transfert de fichiers automatis\u00e9 utilis\u00e9 par plus de 3 000 entreprises<\/strong> et 100 000 utilisateurs<\/strong> dans le monde. La plus grave, CVE-2026-4670<\/strong>, obtient un score CVSS de 9,8<\/strong> et permet \u00e0 un attaquant non authentifi\u00e9 de contourner l’ensemble des m\u00e9canismes d’authentification sans interaction utilisateur. D\u00e9couverte par quatre chercheurs de l’\u00e9quipe Airbus SecLab<\/strong>, cette faille expose des donn\u00e9es de paie, des transferts financiers et des dossiers m\u00e9dicaux \u00e0 un acc\u00e8s non autoris\u00e9 complet. Le spectre du d\u00e9sastre MOVEit 2023 (93,3 millions de victimes, 2 700 organisations) plane de nouveau sur l’industrie de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

MOVEit Automation : la cible strat\u00e9gique des transferts d’entreprise<\/h2>\n\n\n\n

MOVEit Automation (anciennement MOVEit Central, puis Ipswitch MOVEit Central) n’est pas un outil de niche. Il s’agit du moteur d’orchestration que les entreprises utilisent pour d\u00e9placer des donn\u00e9es sensibles sur des cycles automatis\u00e9s : fichiers de paie, transactions financi\u00e8res, dossiers m\u00e9dicaux, donn\u00e9es partenaires et fichiers d’ing\u00e9nierie<\/strong>. La plateforme stocke \u00e9galement les identifiants int\u00e9gr\u00e9s dans les t\u00e2ches d’automatisation, ce qui en fait une cible d’une valeur exceptionnelle pour les attaquants.<\/p>\n\n\n\n

Progress Software se positionne comme leader dans le rapport G2 Grid pour les logiciels de transfert de fichiers g\u00e9r\u00e9 (MFT)<\/strong>. Avec 3 000 entreprises clientes et 100 000 utilisateurs, MOVEit traite quotidiennement des volumes consid\u00e9rables de donn\u00e9es critiques dans les secteurs de la finance, de la sant\u00e9, de l’industrie et de l’administration publique. En Europe, de nombreuses entreprises utilisent MOVEit pour assurer la conformit\u00e9 avec le RGPD et les normes PCI-DSS, HIPAA et SOC 2.<\/p>\n\n\n\n

Le secteur MFT est devenu une cible structurelle pour les groupes d’attaque. Cleo, CrushFTP, Wing FTP et maintenant MOVEit Automation ont tous \u00e9t\u00e9 cibl\u00e9s ces derniers mois. La raison est simple : ces produits se trouvent en p\u00e9riph\u00e9rie du r\u00e9seau et traitent les donn\u00e9es les plus sensibles de l’entreprise. Une seule faille critique suffit \u00e0 compromettre l’int\u00e9gralit\u00e9 de la cha\u00eene de valeur d’une organisation.<\/p>\n\n\n\n

CVE-2026-4670 : z\u00e9ro authentification, z\u00e9ro interaction, acc\u00e8s total<\/h2>\n\n\n\n

CVE-2026-4670 est class\u00e9e comme un contournement d’authentification par faiblesse primaire<\/strong> (CWE-305). Un attaquant distant non authentifi\u00e9 peut exploiter cette faille enti\u00e8rement via le r\u00e9seau, sans aucun privil\u00e8ge pr\u00e9alable et sans interaction de l’utilisateur. Le vecteur d’attaque se situe dans les interfaces de port de commande backend du service<\/strong> de MOVEit Automation.<\/p>\n\n\n\n

Progress Software d\u00e9crit les cons\u00e9quences directement dans son bulletin officiel : “L’exploitation peut conduire \u00e0 un acc\u00e8s non autoris\u00e9, un contr\u00f4le administratif et une exposition des donn\u00e9es.”<\/em> Le score CVSS 9,8 place CVE-2026-4670 parmi les vuln\u00e9rabilit\u00e9s les plus critiques divulgu\u00e9es en 2026, au m\u00eame niveau que la faille d’origine MOVEit de 2023 (CVE-2023-34362, CVSS 9,8).<\/p>\n\n\n\n

Les versions affect\u00e9es couvrent un spectre large : toutes les installations de MOVEit Automation ant\u00e9rieures \u00e0 2025.0.9 dans la branche 2025.0.x, toutes les versions ant\u00e9rieures \u00e0 2024.1.8 dans la branche 2024.x, et toutes les versions ant\u00e9rieures \u00e0 2024.0.0 sans exception<\/strong>. Cette derni\u00e8re cat\u00e9gorie repr\u00e9sente potentiellement de nombreuses installations non maintenues dans des environnements industriels ou gouvernementaux.<\/p>\n\n\n\n

Impact technique des deux vuln\u00e9rabilit\u00e9s combin\u00e9es<\/h3>\n\n\n\n

Utilis\u00e9es ensemble, CVE-2026-4670 et CVE-2026-5174 cr\u00e9ent un chemin d’attaque complet : de l’acc\u00e8s r\u00e9seau non authentifi\u00e9 au contr\u00f4le administratif total<\/strong> de l’environnement MOVEit Automation. L’attaquant acc\u00e8de alors aux identifiants stock\u00e9s dans les t\u00e2ches d’automatisation, aux donn\u00e9es m\u00e9tiers sensibles (rapports, fichiers de paie, informations financi\u00e8res) et au r\u00e9seau d’entreprise \u00e9tendu. Il n’existe aucune att\u00e9nuation partielle document\u00e9e par Progress : la mise \u00e0 niveau est la seule voie de rem\u00e9diation.<\/p>\n\n\n\n

CVE-2026-5174 : l’escalade de privil\u00e8ges qui ferme la boucle<\/h2>\n\n\n\n

La seconde vuln\u00e9rabilit\u00e9, CVE-2026-5174<\/strong>, est une faille d’escalade de privil\u00e8ges par validation incorrecte des entr\u00e9es. Elle obtient un score CVSS de 8,8<\/strong> selon le NIST (7,7 selon Progress en tant qu’autorit\u00e9 de num\u00e9rotation CVE). Un attaquant disposant de privil\u00e8ges bas peut exploiter cette faille pour escalader ses droits jusqu’au niveau administrateur.<\/p>\n\n\n\n

La combinaison est redoutable. CVE-2026-4670 fournit l’entr\u00e9e initiale sans aucun compte valide. CVE-2026-5174 transforme cet acc\u00e8s limit\u00e9 en contr\u00f4le total. Progress confirme que les deux vuln\u00e9rabilit\u00e9s r\u00e9sident dans les m\u00eames interfaces de port de commande backend du service, ce qui simplifie leur encha\u00eenement pour un attaquant exp\u00e9riment\u00e9.<\/p>\n\n\n\n

CVE-2026-5174 affecte uniquement les versions ant\u00e9rieures \u00e0 2025.1.5 dans la branche 2025.1.x, en plus des m\u00eames versions que CVE-2026-4670. Le correctif commun aux deux vuln\u00e9rabilit\u00e9s couvre les versions 2025.1.5, 2025.0.9 et 2024.1.8. Progress pr\u00e9cise qu’il n’existe aucune solution de contournement \u00e9quivalente \u00e0 la mise \u00e0 niveau compl\u00e8te.<\/p>\n\n\n\n

Tableau des versions affect\u00e9es et correctifs disponibles<\/h2>\n\n\n\n
Branche MOVEit Automation<\/th>Versions affect\u00e9es (CVE-2026-4670)<\/th>Versions affect\u00e9es (CVE-2026-5174)<\/th>Version corrig\u00e9e<\/th><\/tr><\/thead>
2025.1.x<\/td>Non affect\u00e9e<\/td>2025.1.4 et ant\u00e9rieures<\/td>2025.1.5<\/td><\/tr>
2025.0.x<\/td>2025.0.0 \u00e0 2025.0.8<\/td>2025.0.8 et ant\u00e9rieures<\/td>2025.0.9<\/td><\/tr>
2024.1.x<\/td>2024.0.0 \u00e0 2024.1.7<\/td>2024.1.7 et ant\u00e9rieures<\/td>2024.1.8<\/td><\/tr>
Ant\u00e9rieures \u00e0 2024.0.0<\/td>Toutes versions<\/td>Toutes versions<\/td>Mise \u00e0 niveau vers 2024.1.8+<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Progress insiste : “La mise \u00e0 niveau vers une version corrig\u00e9e, en utilisant le programme d’installation complet, est la seule fa\u00e7on de r\u00e9soudre ce probl\u00e8me. Il y aura une interruption de service pendant la mise \u00e0 niveau.”<\/em> Les clients disposant d’un contrat de maintenance actif peuvent t\u00e9l\u00e9charger les correctifs depuis le portail Progress Community.<\/p>\n\n\n\n

Airbus SecLab : quatre chercheurs fran\u00e7ais \u00e0 l’origine de la d\u00e9couverte<\/h2>\n\n\n\n

La d\u00e9couverte de CVE-2026-4670 et CVE-2026-5174 est attribu\u00e9e \u00e0 quatre chercheurs de l’\u00e9quipe Airbus SecLab<\/strong> : Ana\u00efs Gantet, Delphine Gourdou, Quentin Liddell et Matteo Ricordeau<\/strong>. L’\u00e9quipe SecLab d’Airbus est sp\u00e9cialis\u00e9e dans la s\u00e9curit\u00e9 des syst\u00e8mes critiques, notamment dans les domaines de l’aviation, de la d\u00e9fense et des infrastructures industrielles.<\/p>\n\n\n\n

La divulgation a suivi un processus de divulgation responsable coordonn\u00e9e<\/strong>. Les chercheurs ont notifi\u00e9 Progress Software en amont, permettant \u00e0 l’\u00e9diteur de d\u00e9velopper et de tester des correctifs avant la publication publique. Ce protocole contraste avec les incidents de type zero-day exploit\u00e9 dans la nature, o\u00f9 les organisations n’ont aucun d\u00e9lai pour se prot\u00e9ger.<\/p>\n\n\n\n

La participation d’Airbus SecLab souligne le r\u00f4le croissant de la recherche en s\u00e9curit\u00e9 industrielle fran\u00e7aise dans l’\u00e9cosyst\u00e8me mondial de la cybers\u00e9curit\u00e9. L’ANSSI recense r\u00e9guli\u00e8rement des recherches de ce type dans ses bulletins CERT-FR, renfor\u00e7ant la coordination nationale face aux menaces sur les infrastructures critiques. Cette d\u00e9couverte d\u00e9montre \u00e9galement que les logiciels de transfert de fichiers d’entreprise restent une surface d’attaque prioritaire pour la recherche d\u00e9fensive.<\/p>\n\n\n\n

Chronologie : de la divulgation au patch d’urgence<\/h2>\n\n\n\n

La s\u00e9quence des \u00e9v\u00e9nements autour de CVE-2026-4670 illustre les meilleures pratiques de gestion de vuln\u00e9rabilit\u00e9, mais aussi les d\u00e9lais r\u00e9els auxquels font face les \u00e9quipes de s\u00e9curit\u00e9 :<\/p>\n\n\n\n