CERTFR-2026-ALS-006 : RCE critique Stormshield SNS pré-auth (CVSS 9.1)

Les faits

Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) de l'ANSSI a publié le lundi 26 mai 2026 l'alerte de sécurité CERTFR-2026-ALS-006, signalant une vulnérabilité critique dans les produits Stormshield Network Security (SNS). La faille permet à un attaquant distant et non authentifié d'exécuter du code arbitraire sur l'appliance pare-feu ciblée, avec un score CVSS de 9.1 — niveau critique selon la classification NVD/NIST. Le CERT-FR recommande expressément l'application du correctif sans délai, soulignant l'exposition particulière des infrastructures critiques françaises.

Stormshield est une entreprise française de cybersécurité, filiale d'Airbus CyberSecurity, dont les produits SNS (Stormshield Network Security) sont qualifiés par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) aux niveaux Standard et Renforcé. Cette qualification ANSSI fait du SNS la solution de pare-feu de référence pour de nombreux organismes de l'État français, Opérateurs d'Importance Vitale (OIV), établissements de santé, collectivités territoriales et entreprises soumises à la directive NIS2. Une vulnérabilité critique dans ce produit représente donc une menace directe pour la cybersécurité nationale française.

Les détails techniques de la vulnérabilité n'ont pas été intégralement divulgués par Stormshield et le CERT-FR dans une optique de divulgation responsable, afin d'éviter de fournir une aide directe à des attaquants potentiels avant que l'ensemble des organisations concernées aient eu le temps d'appliquer le correctif. Ce que l'on sait, selon les informations publiées dans l'avis CERTFR-2026-AVI-0631 associé, c'est que la faille réside dans un composant du traitement réseau de l'appliance SNS et permet une exécution de code à distance depuis le réseau WAN (côté Internet) sans nécessiter d'identifiants valides. Le vecteur d'attaque est réseau (Network, AV:N), sans interaction utilisateur requise et sans privilèges préalables nécessaires — soit le scénario d'exploitation le plus défavorable.

Le contexte de publication de l'alerte est lui-même significatif. Le CERT-FR a choisi de publier CERTFR-2026-ALS-006 le lundi 26 mai 2026, au début d'une période de congés dans plusieurs pays européens (Pentecôte). Ce timing correspond à une fenêtre classiquement exploitée par les acteurs malveillants, sachant que les équipes de sécurité sont souvent réduites en période fériée et que les fenêtres de déploiement de correctifs se rétrécissent. La publication de l'alerte ce lundi de début de période fériée témoigne de la sévérité évaluée de la menace par le CERT-FR, qui a jugé le risque suffisamment immédiat pour ne pas attendre.

Le profil de déploiement de Stormshield SNS aggrave considérablement le risque potentiel. Les appliances SNS sont positionnées en périmètre réseau — directement exposées à Internet — et constituent la première ligne de défense de leurs organisations. Une RCE sur un pare-feu SNS non patché permettrait à un attaquant de compromettre le composant censé protéger l'ensemble du réseau interne, d'intercepter tout le trafic réseau transitant par l'appliance (y compris le trafic VPN SSL/IPsec décrypté), de modifier les règles de filtrage pour ouvrir des accès non autorisés vers les réseaux internes, et de pivoter directement vers les systèmes les plus critiques de l'organisation depuis une position de confiance maximale dans l'architecture réseau.

La qualification ANSSI des produits Stormshield SNS implique également que de nombreuses organisations utilisent ces appliances pour protéger des systèmes d'information sensibles, voire classifiés au niveau Diffusion Restreinte. La compromission d'un pare-feu SNS dans ces contextes ouvrirait potentiellement une fenêtre d'accès à des informations soumises à protection légale, avec des conséquences graves sur la sécurité nationale et la protection des données des administrés et des personnels concernés.

D'après les informations publiées par IT Social et ZoneAntimalware, Stormshield a développé et mis à disposition un correctif pour les versions de SNS affectées. Les clients disposant d'un contrat de support actif peuvent accéder au correctif via le portail Stormshield MyStormshield et les canaux habituels de support technique. Le CERT-FR recommande explicitement trois actions immédiates dans l'ordre de priorité : appliquer la mise à jour de sécurité sans délai, restreindre l'accès à l'interface d'administration aux seules adresses IP de confiance, et analyser les logs d'accès des 30 derniers jours pour détecter toute connexion anormale susceptible d'indiquer une exploitation préalable à la publication de l'alerte.

La recommandation de vérifier 30 jours de logs rétrospectivement est particulièrement signifiante dans le contexte de CERTFR-2026-ALS-006 : elle suggère que le CERT-FR ne peut exclure que la vulnérabilité ait été découverte et exploitée par des acteurs malveillants avant sa divulgation officielle. Les attaques sur les équipements périmètriques (pare-feux, concentrateurs VPN) constituent depuis 2023 un vecteur d'intrusion majeur utilisé par les groupes APT ciblant les organisations gouvernementales et les OIV, comme en témoignent les incidents récents sur FortiOS (CVE-2024-21762), Ivanti Connect Secure et Cisco ASA. Les appliances Stormshield SNS s'inscrivent dans ce ciblage systématique des infrastructures de sécurité périmètrique par des acteurs étatiques cherchant à s'implanter durablement dans les réseaux critiques.

Selon les données publiées par Security Affairs et les bulletins ANSSI, aucun groupe d'attaquants spécifique n'a été publiquement attribué à une exploitation de CERTFR-2026-ALS-006 au moment de la rédaction de cet article. Cependant, les groupes APT russes (APT28, Sandworm), chinois (APT41) et nord-coréens (Lazarus) ont documenté un ciblage régulier des équipements de sécurité périmètrique français et européens dans le cadre d'opérations de cyberespionnage à long terme. La disponibilité d'une faille critique dans un produit qualifié ANSSI représente une opportunité de valeur stratégique élevée pour ces acteurs.

Impact et exposition

CERTFR-2026-ALS-006 concerne l'ensemble des organisations françaises et francophones ayant déployé des appliances Stormshield SNS dans leurs architectures réseau sans avoir appliqué le correctif publié début juin 2026. Les entités les plus exposées incluent les ministères et administrations de l'État, les OIV des secteurs énergie, transport, eau et santé, les collectivités territoriales utilisant SNS comme pare-feu de périmètre, et les entreprises privées soumises à NIS2 ayant choisi SNS pour sa qualification ANSSI.

Les organisations soumises à NIS2 et les OIV ont l'obligation réglementaire de traiter les vulnérabilités critiques affectant leurs systèmes dans des délais stricts définis par l'ANSSI. La publication d'une alerte CERT-FR (niveau maximum dans la nomenclature ANSSI, distinct des avis de sécurité) indique la criticité la plus élevée, déclenchant des obligations de remédiation prioritaires et de reporting aux autorités compétentes. Les RSSI d'organisations concernées doivent documenter les actions prises en réponse à CERTFR-2026-ALS-006 dans leurs registres de traitement des vulnérabilités.

Aucune exploitation active publiquement confirmée n'avait été annoncée par le CERT-FR au moment de la rédaction de cet article. Cependant, le timing de publication (période de réduction des équipes), la criticité du score CVSS (9.1) et la nature du composant affecté (pare-feu périmètrique de référence ANSSI) en font une cible de premier choix pour les groupes APT ciblant les infrastructures françaises, dans un contexte géopolitique où les cyberattaques visant des organisations gouvernementales et des OIV sont en augmentation constante.

Recommandations immédiates

• Appliquer le correctif Stormshield SNS immédiatement via le portail MyStormshield — advisory : CERTFR-2026-ALS-006 et CERTFR-2026-AVI-0631 (CERT-FR / ANSSI)
• Si le patch ne peut être appliqué immédiatement : restreindre TOUTES les interfaces d'administration SNS aux seules adresses IP de confiance via des ACL réseau en amont de l'appliance
• Analyser les logs d'accès et d'authentification des 30 derniers jours à la recherche de connexions anormales, requêtes malformées ou accès depuis des IP inconnues ou géolocalisations inhabituelles
• Vérifier l'intégrité de la configuration des règles de filtrage SNS : s'assurer qu'aucune règle n'a été ajoutée ou modifiée sans autorisation formelle depuis 30 jours
• Activer la supervision des logs SNS vers un SIEM avec alertes sur les événements d'authentification échoués et les erreurs système inhabituelles
• Contacter le support Stormshield ou signaler au CERT-FR (cert@ssi.gouv.fr) si des indicateurs de compromission sont détectés dans les logs
• Pour les OIV : notifier l'ANSSI de l'application du correctif conformément aux obligations réglementaires NIS2