La CISA ordonne le patch de la faille critique CVE-2026-1340 dans Ivanti EPMM avant le 11 avril. Exécution de code à distance sans authentification.
TL;DR — En résumé
La CISA impose le patch d'Ivanti EPMM CVE-2026-1340 avant le 11 avril. Faille critique exploitée depuis janvier permettant le RCE.
En bref
- La CISA ajoute la faille CVE-2026-1340 d'Ivanti EPMM à son catalogue KEV et impose un patch avant le 11 avril.
- Cette vulnérabilité critique permet l'exécution de code à distance sans authentification sur les appliances exposées.
- Exploitée depuis janvier 2026, elle concerne toutes les organisations utilisant Ivanti Endpoint Manager Mobile.
Ce qui s'est passé
L'agence américaine de cybersécurité CISA a ajouté lundi la vulnérabilité CVE-2026-1340 à son catalogue des vulnérabilités exploitées connues (KEV). Cette faille critique d'injection de code dans Ivanti Endpoint Manager Mobile (EPMM) permet à un attaquant non authentifié d'obtenir une exécution de code à distance sur les appliances exposées sur Internet. La directive opérationnelle BOD 22-01 impose aux agences fédérales de corriger leurs systèmes avant samedi minuit, le 11 avril.
Ivanti avait déjà publié des correctifs de sécurité le 29 janvier 2026 pour cette faille ainsi que pour une seconde vulnérabilité associée, CVE-2026-1281. L'éditeur avait alors « fortement encouragé » ses clients à mettre à jour immédiatement, signalant que les deux failles étaient déjà exploitées comme zero-days. Malgré cet avertissement, de nombreuses instances restent vulnérables plus de deux mois après la publication du patch, d'après les données de la communauté de recherche en sécurité.
La CISA a désormais référencé 33 vulnérabilités Ivanti dans son catalogue KEV, dont 12 ont été utilisées par des opérateurs de ransomware. Selon BleepingComputer, 83 % des tentatives d'exploitation observées en février provenaient d'une seule adresse IP hébergée sur une infrastructure bulletproof, ce qui suggère une campagne coordonnée et persistante.
Pourquoi c'est important
Ivanti EPMM est utilisé par des milliers d'organisations pour gérer les appareils mobiles de leurs collaborateurs. Une compromission de cette plateforme donne un accès direct au réseau interne et aux données des terminaux gérés. Le fait que la faille soit exploitée depuis janvier sans que toutes les instances soient patchées illustre un problème récurrent : le décalage entre la publication d'un correctif et son application effective. Pour les organisations françaises soumises à NIS2, ce type de vulnérabilité activement exploitée doit déclencher une réponse immédiate dans le cadre de la gestion des risques.
Ce qu'il faut retenir
- Patcher immédiatement Ivanti EPMM si vous utilisez ce produit — la faille CVE-2026-1340 est activement exploitée.
- Vérifier les journaux d'accès de vos appliances EPMM pour détecter d'éventuelles compromissions depuis janvier.
- Intégrer les flux KEV de la CISA à votre processus de gestion des vulnérabilités pour prioriser les correctifs critiques.
Comment savoir si mon instance Ivanti EPMM est vulnérable ?
Vérifiez la version installée de votre appliance EPMM. Les versions antérieures au patch du 29 janvier 2026 sont vulnérables. Ivanti fournit un outil de vérification dans sa base de connaissances. Si votre appliance est exposée sur Internet, considérez-la comme potentiellement compromise et lancez une investigation avant même d'appliquer le correctif.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Articles connexes :
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Indra Group : ransomware TheGentlemen cible un contractant stratégique de l'OTAN
TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
CVE-2026-45659 : SharePoint Server RCE exploité activement, Storm-2603 déploie des webshells
CVE-2026-45659, une désérialisation RCE CVSS 8.8 sur Microsoft SharePoint Server, a été ajoutée au KEV CISA après exploitation confirmée par Storm-2603. Un compte avec des droits de membre de site suffit pour déclencher l'attaque. Appliquer le patch de mai 2026 en urgence.
Patch Tuesday juillet 2026 : 127 CVE, RCE wormable CVSS 9.8 et enforcement Kerberos RC4
Le Patch Tuesday du 14 juillet 2026 corrige 127 vulnérabilités dont 38 critiques. CVE-2025-47981, un RCE wormable CVSS 9.8 sur NEGOEX, est le correctif le plus urgent ; l'enforcement Kerberos RC4 entre en vigueur aujourd'hui et peut provoquer des pannes d'authentification sur les environnements non préparés.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire