CVE-2026-31790 : RCE non-auth Stormshield SNS CVSS 9.1

Les faits

Le 9 juin 2026, Stormshield a publié son bulletin de sécurité 2026-011 corrigeant CVE-2026-31790, une vulnérabilité d'exécution de code à distance non authentifiée affectant ses appliances Stormshield Network Security (SNS). Le CERT-FR a simultanément publié l'avis CERTFR-2026-AVI-0723, classant la vulnérabilité comme critique avec un score CVSS v3.1 de 9.1 et appelant à l'application immédiate du correctif. Une publication d'IT Social du même jour soulignait la dangerosité particulière de cette faille, notamment compte tenu du profil des déploiements SNS dans les réseaux d'entreprise et d'administration française.

CVE-2026-31790 permet à un attaquant distant, sans authentification préalable, d'exécuter du code arbitraire sur l'appliance SNS ciblée. La nature exacte de la root cause technique n'a pas été divulguée dans les détails publics au moment de la publication — une pratique habituelle de Stormshield pour ne pas fournir de guide d'exploitation aux acteurs malveillants dans les premières semaines suivant la correction. D'après les informations disponibles, la vulnérabilité se situe dans le traitement des requêtes réseau entrantes sur un service exposé sur l'interface WAN ou de gestion de l'appliance.

Le score CVSS 9.1 reflète un vecteur d'attaque Network (AV:N), une complexité Low (AC:L), des privilèges None (PR:N), aucune interaction utilisateur (UI:N), un scope Unchanged (S:U), et des impacts Confidentiality, Integrity et Availability tous évalués High — combinaison indiquant une compromission complète de l'appliance possible à distance sans aucune condition préalable. Ce niveau de criticité est cohérent avec une vulnérabilité de type pre-authentication RCE sur un composant d'infrastructure réseau périmétrique, selon la nomenclature NVD/NIST.

Stormshield Network Security est un pare-feu de nouvelle génération (NGFW) développé par Stormshield, filiale d'Airbus CyberSecurity, et très largement déployé dans les administrations publiques françaises, les organismes de défense et les entreprises des secteurs régulés (santé, énergie, finance). La solution bénéficie de qualifications ANSSI (Certification Critères Communs EAL3+ et qualification Standard), ce qui en fait un équipement de référence dans les contextes nécessitant un niveau d'assurance élevé. La compromission d'un pare-feu SNS constitue donc non seulement une brèche dans le périmètre réseau, mais aussi une atteinte potentielle à la chaîne de confiance des certifications utilisées pour justifier l'architecture de sécurité des systèmes d'information critiques.

La publication du bulletin Stormshield 2026-011 a eu lieu le lundi 9 juin 2026, dans un contexte de semaine chargée pour les équipes de sécurité françaises post-Patch Tuesday Microsoft. Le timing est particulièrement délicat : la semaine précédente avait déjà vu la publication d'alertes CERT-FR sur Cisco SD-WAN (CVE-2026-20245), FreeRADIUS et des produits Synology. La gestion des priorités entre ces différentes alertes simultanées constitue un défi opérationnel pour les équipes SSI. Les appliances SNS, en position périmétrique, doivent être considérées comme priorité maximale de patchage en raison de leur exposition directe et de la criticité des environnements qu'elles protègent.

Selon le bulletin Stormshield 2026-011, des versions corrigées sont disponibles pour toutes les branches maintenues. La recommandation officielle est de mettre à jour vers la version corrective dès que possible sans attendre la prochaine fenêtre de maintenance planifiée. En l'absence de détails publics sur le vecteur exact, aucun PoC (proof-of-concept) n'avait été observé dans les repositories publics au 13 juin 2026. L'avis CERTFR-2026-AVI-0723 est le document de référence pour les organisations françaises et recommande l'application du correctif comme seule mesure curative permettant d'éliminer définitivement le risque.

Stormshield a également émis des recommandations de mitigation temporaires pour les organisations ne pouvant pas patcher immédiatement : restriction de l'accès aux interfaces d'administration (HTTPS, SSH) à des plages IP de confiance uniquement via des règles de filtrage en amont, et désactivation des services non indispensables exposés sur l'interface WAN. Ces mesures réduisent la surface d'exposition en attendant le patch mais ne constituent pas une protection garantie si le service vulnérable est intrinsèquement lié au fonctionnement normal du pare-feu.

La CVE-2026-31790 s'inscrit dans une tendance préoccupante d'augmentation des vulnérabilités pré-authentification sur les équipements de sécurité périmétrique en 2026. Dans les 12 derniers mois, des failles similaires ont affecté Fortinet FortiSandbox (CVE-2026-25089, CVSS 9.8), Ivanti Sentry (CVE-2026-10520, CVSS 10.0), Check Point VPN (CVE-2026-50751) et désormais Stormshield SNS. Cette concentration de vulnérabilités critiques sur les équipements périmètre confirme la tendance des acteurs APT à cibler en priorité les équipements de sécurité comme vecteur d'accès initial avant de pivoter vers le réseau interne.

Impact et exposition

Les organisations les plus exposées sont les administrations publiques et les entreprises françaises ayant déployé des appliances Stormshield SNS comme pare-feu périmétrique principal. Compte tenu de la qualification ANSSI dont bénéficie SNS, de nombreuses entités des secteurs OIV (Opérateurs d'Importance Vitale) et OSE (Opérateurs de Services Essentiels) s'appuient sur ces équipements. Une exploitation réussie de CVE-2026-31790 donnerait à l'attaquant un contrôle total sur le pare-feu, lui permettant de modifier les règles de filtrage, d'établir des tunnels VPN illégitimes, d'intercepter le trafic réseau en transit, et de servir de point de rebond vers le réseau interne en contournant tous les contrôles de sécurité périmétrique.

La condition d'exploitation principale (accès réseau à l'interface exposée de l'appliance SNS) est facilement remplie dès lors que l'interface WAN est connectée à Internet. Les interfaces de gestion exposées directement sur Internet amplifieraient l'exposition. Les appliances SNS déployées en mode transparent ou en segmentation interne présentent une surface d'attaque réduite si les interfaces exposées ne sont pas joignables depuis l'extérieur, mais restent vulnérables depuis les segments réseau internes accessibles.

À ce stade, aucune exploitation active n'a été confirmée publiquement pour CVE-2026-31790. Cependant, la nature de la cible (pare-feu périmétrique critique, qualifié ANSSI, massivement déployé dans l'administration française) en fait un objectif de haute valeur pour des acteurs APT ciblant les infrastructures de l'État et des OIV nationaux. Le délai historiquement observé entre publication d'un advisory pour un NGFW et l'apparition des premières tentatives d'exploitation actives est de l'ordre de quelques jours à quelques semaines, justifiant une réponse immédiate.

Recommandations immédiates

• Appliquer immédiatement le correctif décrit dans le bulletin Stormshield 2026-011 — avis CERT-FR CERTFR-2026-AVI-0723
• En attente de patch : restreindre l'accès à toutes les interfaces de gestion SNS (HTTPS, SSH) à des plages IP de confiance uniquement via règles de filtrage en amont
• Désactiver les services SNS non indispensables exposés sur l'interface WAN jusqu'à l'application du correctif
• Surveiller les logs SNS (syslog, SIEM) pour détecter des tentatives d'accès inhabituelles ou des connexions administratives inattendues
• Vérifier l'intégrité de la configuration SNS après patch : règles de filtrage, configurations VPN, comptes administrateurs, pour détecter toute modification non autorisée antérieure
• Contacter le support Stormshield ou l'intégrateur partenaire pour accélérer le déploiement du correctif dans les environnements critiques OIV/OSE