CVE-2025-9086 : RCE non authentifié dans Stormshield SNS — alerte critique CERT-FR

Les faits

Le 26 mai 2026, le CERT-FR a émis une alerte de niveau critique sous la référence CERTFR-2026-ALS-006, portant sur la vulnérabilité CVE-2025-9086 affectant Stormshield Network Security (SNS). Cette faille permet à un attaquant distant et non authentifié d'exécuter du code arbitraire sur l'appliance de sécurité réseau. Le score CVSS est établi à 9.1, classant la vulnérabilité dans la catégorie critique. Stormshield, filiale d'Airbus CyberSecurity, avait publié le Security Bulletin 2026-010 dès le 21 mai 2026 — soit cinq jours avant la montée en alerte du CERT-FR, le temps que l'agence finalise ses analyses techniques avant d'émettre une alerte officielle.

Techniquement, CVE-2025-9086 réside dans le traitement des requêtes HTTP par l'interface d'administration web des appliances SNS. Une requête spécialement forgée permet de déclencher une exécution de code arbitraire côté serveur sans nécessiter la moindre authentification préalable. L'attaquant doit uniquement disposer d'une connectivité réseau vers l'interface d'administration — ce qui, dans de nombreuses configurations insuffisamment segmentées, peut être possible depuis Internet ou depuis un réseau interne compromis. Aucune interaction utilisateur n'est requise, ce qui rend l'exploitation entièrement automatisable et potentiellement scriptable à grande échelle.

Stormshield Network Security est l'une des solutions de référence de la souveraineté numérique française. Le produit bénéficie de la qualification de l'ANSSI pour la protection des systèmes d'information sensibles et est massivement déployé dans les ministères, les collectivités territoriales, les hôpitaux, les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE) définis par la directive NIS. Cette exposition dans des infrastructures critiques confère à CVE-2025-9086 une dimension stratégique qui dépasse le simple incident technique.

La fenêtre d'exposition entre la publication du bulletin Stormshield le 21 mai et l'alerte CERT-FR le 26 mai est particulièrement préoccupante. Cinq jours pendant lesquels les appliances vulnérables étaient exposées sans que l'écosystème des défenseurs institutionnels ne soit officiellement alerté. Dans ce délai, des acteurs disposant d'une veille approfondie sur les publications de bulletins de sécurité ont pu avoir connaissance de la faille et potentiellement développer ou adapter un exploit. Le CERT-FR n'a pas confirmé d'exploitation active à la date de publication de son alerte, mais n'a pas non plus exclu cette hypothèse compte tenu de la criticité du vecteur.

Le vecteur d'attaque est particulièrement redoutable dans le contexte de l'architecture réseau typique d'une administration française. Dans une grande majorité de déploiements, l'interface d'administration de l'appliance SNS est accessible depuis le réseau d'administration interne (VLAN d'administration). Cela signifie que tout poste de travail compromis au sein du réseau interne, ou tout attaquant ayant déjà réalisé un premier mouvement latéral, dispose d'un vecteur direct vers la vulnérabilité. Les organisations qui exposent l'interface d'administration directement sur Internet se trouvent dans une situation d'urgence absolue et doivent agir immédiatement.

Les conséquences d'une exploitation réussie sont particulièrement graves sur un équipement de type pare-feu UTM. Un attaquant qui compromet une appliance Stormshield SNS obtient un accès à l'intégralité de la configuration réseau de l'organisation : règles de filtrage, tables NAT, tunnels VPN et leurs credentials, certificats déployés, politiques de sécurité complètes. Il peut également intercepter le trafic réseau transitant par l'appliance avant son déchiffrement applicatif, modifier silencieusement les règles de filtrage pour créer des backdoors persistantes, et utiliser l'appliance comme pivot de confiance vers l'ensemble du réseau interne protégé.

Cette vulnérabilité s'inscrit dans une tendance de fond particulièrement inquiétante depuis le début de 2026 : les équipements de sécurité périmétrique sont devenus des cibles prioritaires pour les attaquants sophistiqués. Les mois précédents ont vu des vulnérabilités critiques frapper PAN-OS (CVE-2026-0300, CVSS 9.8, exploitation active sur 70 000 firewalls), des passerelles VPN d'entreprise de multiples éditeurs, et des contrôleurs SD-WAN. La logique est imparable : compromettre le gardien, c'est compromettre l'ensemble du réseau qu'il protège, souvent sans déclencher la moindre alerte dans les SIEM configurés pour faire confiance aux équipements de sécurité eux-mêmes.

Du côté de l'ANSSI et du CERT-FR, CVE-2025-9086 s'ajoute à une série d'alertes récentes concernant des équipements réseau critiques. L'agence a rappelé lors de la publication de l'alerte que les OIV et OSE ont l'obligation réglementaire d'appliquer les correctifs critiques dans des délais stricts, et que tout retard d'application sur ce type de vulnérabilité engage la responsabilité de l'organisation. Pour les administrations soumises à la doctrine technique de l'ANSSI et aux exigences de la directive NIS2, ce n'est pas une recommandation — c'est une injonction contraignante.

Impact et exposition

CVE-2025-9086 touche l'ensemble des organisations déployant Stormshield Network Security comme solution de pare-feu ou UTM, sans restriction de secteur. En France, cela représente plusieurs milliers d'entités dont une proportion significative opère dans des secteurs critiques. Les collectivités territoriales — communes de taille moyenne, conseils départementaux, régions — sont statistiquement les plus exposées car elles ont largement standardisé leur infrastructure réseau autour de solutions qualifiées ANSSI, et leurs équipes de cybersécurité sont souvent réduites. La criticité de l'impact dépend directement de la configuration du déploiement : interface accessible depuis Internet (urgence absolue) ou depuis le réseau interne uniquement (urgence élevée).

Recommandations

• Appliquer immédiatement le correctif Stormshield Security Bulletin 2026-010 sur toutes les appliances SNS — priorité absolue pour les OIV, OSE et administrations d'État
• En attendant le patch : restreindre l'accès à l'interface d'administration web aux seules adresses IP de confiance, bloquer tout accès depuis Internet
• Auditer les journaux d'accès à l'interface d'administration des 30 derniers jours à la recherche de requêtes HTTP anormales ou d'adresses IP non reconnues
• Vérifier l'intégrité de la configuration de l'appliance et comparer avec la dernière configuration sauvegardée connue bonne
• Signaler tout indicateur de compromission au CERT-FR via son portail officiel de déclaration d'incidents
• Mettre en place une surveillance renforcée des flux réseau traversant l'appliance pour détecter des comportements anormaux post-exploitation