Progress Software ordonne la mise hors ligne immédiate de tous les Storage Zone Controllers on-premises ShareFile face à une menace externe crédible. ~30 000 instances exposées, comparaison directe avec l'incident MOVEit 2023.
En bref
- Progress Software ordonne la mise hors ligne immédiate de tous les Storage Zone Controllers ShareFile face à une menace externe crédible non encore documentée publiquement
- ~30 000 instances SZC exposées sur Internet — déploiements Windows on-premises uniquement concernés
- Éteindre le serveur hébergeant les SZC sans attendre — désactiver l'accès cloud ShareFile ne suffit pas
Les faits
Le 10 juillet 2026, Progress Software a envoyé un email d'alerte en urgence à l'ensemble de ses clients utilisant les Storage Zone Controllers (SZC) on-premises, leur enjoignant d'éteindre immédiatement leurs serveurs. La raison invoquée par l'éditeur : ce qu'il qualifie de "credible external security threat" — une menace externe crédible dont la nature exacte n'a pas été divulguée. L'alerte a d'abord filtré quand un client a posté l'email sur le forum Reddit r/sysadmin, forçant Progress à confirmer officiellement l'incident sur sa page de statut à 12h12 EDT le même jour, avec le statut "not operational".
Le message de Progress ne laisse aucune ambiguïté sur la gravité de la situation : "You must manually shut down the server hosting your Storage Zone Controllers. This is a critical additional step to ensure the safety of your data." Cette formulation est inhabituellement directe de la part d'un éditeur — ordonner une mise hors ligne totale plutôt que de simplement recommander un patch. Progress précise explicitement que désactiver l'accès aux comptes ShareFile via la plateforme cloud ne constitue pas une mesure suffisante : l'action doit être prise au niveau du serveur Windows hébergeant les contrôleurs.
Pour comprendre la surface d'attaque, il faut saisir l'architecture des Storage Zone Controllers : ce sont des serveurs Windows exposés sur Internet qui permettent aux entreprises clientes d'héberger leurs fichiers localement tout en utilisant l'interface cloud ShareFile pour la gestion documentaire. Ils constituent un pont entre les données d'entreprise stockées on-premises et Internet, accessible directement depuis l'extérieur. Selon les analyses des chercheurs, environ 30 000 instances SZC sont actuellement accessibles publiquement sur Internet.
Le contexte technique de cet incident ne peut pas être dissocié d'événements récents. En avril 2026, les chercheurs de watchTowr Labs avaient divulgué deux failles critiques chaînables dans les SZC : CVE-2026-2699 (CVSS 9.8), un bypass d'authentification permettant de contourner l'accès à l'interface d'administration via manipulation de redirections HTTP, et CVE-2026-2701 (CVSS 9.1), permettant l'exécution de code à distance via le dépôt de webshells ASPX malveillants. Ces deux vulnérabilités avaient été corrigées dans la version 5.12.4 publiée en mars 2026. La nouvelle menace signalée en juillet 2026 serait distincte et n'avait pas encore fait l'objet d'une attribution CVE publique au moment de la publication de cette alerte.
La référence à MOVEit Transfer est inévitable pour tout professionnel de la cybersécurité. En mai-juin 2023, le groupe Cl0p avait exploité massivement une faille zero-day SQL injection dans le logiciel de transfert de fichiers de Progress Software, compromettant plus de 2 500 organisations dans le monde et exfiltrant des données appartenant à des gouvernements, des banques, des compagnies d'assurance et des universités. Le coût estimé de cet incident dépassait 12 milliards de dollars selon certaines analyses. Les Storage Zone Controllers occupent un rôle fonctionnel similaire à MOVEit : ils constituent un intermédiaire entre les données d'entreprise et Internet. La récurrence de vulnérabilités critiques dans les produits Progress de cette catégorie suggère une surface d'attaque structurellement problématique.
Au moment de la rédaction de cet article, Progress n'avait pas divulgué le vecteur technique de la menace actuelle, n'avait publié aucun indicateur de compromission (IoC), et n'avait pas communiqué sur l'identité des acteurs potentiellement impliqués. L'entreprise s'était contentée d'indiquer que des mises à jour seraient publiées dans les heures suivant l'alerte initiale. Cette opacité, bien que compréhensible dans les premières heures d'une réponse à incident, génère une incertitude difficile à gérer pour les équipes sécurité des organisations affectées.
L'impact potentiel d'une compromission réussie d'un Storage Zone Controller est considérable. L'accès à l'intégralité des fichiers hébergés localement via ShareFile constitue en soi une fuite de données potentiellement catastrophique. Selon l'architecture réseau de l'organisation, un SZC compromis peut également servir de point de pivot vers l'infrastructure interne. Dans un contexte où les attaquants ayant exploité MOVEit ont systématiquement procédé à de l'extorsion sans chiffrement des systèmes — menaçant de publier les données exfiltrées — le même schéma pourrait se répéter pour les victimes de cette nouvelle vague d'attaques ShareFile.
Pour les organisations n'ayant pas encore appliqué les patches CVE-2026-2699 et CVE-2026-2701 de mars 2026, la situation est doublement critique : elles sont exposées simultanément aux deux failles connues chaînables et à la menace nouvelle, non encore documentée publiquement. La mise hors ligne immédiate ordonnée par Progress représente la seule mitigation disponible en l'état actuel des informations.
Impact et exposition
Sont exposées uniquement les organisations utilisant des Storage Zone Controllers en déploiement on-premises — les clients ShareFile sur l'offre cloud pure (SaaS) ne sont pas affectés. Les secteurs les plus touchés sont ceux ayant adopté ShareFile pour la gestion documentaire : cabinets d'avocats et d'expertise comptable, sociétés de services financiers, établissements de santé, et prestataires de services managés (MSP). Ces secteurs traitent des documents confidentiels à haute valeur dont l'exfiltration peut avoir des conséquences réglementaires majeures.
Recommandations
- Éteindre immédiatement le serveur Windows hébergeant les Storage Zone Controllers — ne pas se contenter de désactiver l'accès cloud ShareFile
- Auditer les logs d'accès des 30 derniers jours avant mise hors ligne pour détecter toute activité anormale
- Vérifier que le patch version 5.12.4 corrigeant CVE-2026-2699 et CVE-2026-2701 a bien été appliqué
- Ne redémarrer les SZC qu'après publication et application du patch officiel de Progress pour la menace actuelle
- Contacter Progress Support pour obtenir les IoC et les instructions de remédiation spécifiques
- Considérer les données hébergées sur les SZC comme potentiellement exfiltrées si l'instance était exposée sur Internet
Alerte critique
Progress Software ordonne la mise hors ligne immédiate de tous les Storage Zone Controllers ShareFile. Si votre organisation utilise des SZC on-premises, éteignez le serveur hôte maintenant — attendez l'annonce officielle d'un patch avant tout redémarrage. Le risque d'exfiltration massive de données est réel et le parallèle avec MOVEit 2023 est pertinent.
Comment savoir si mon organisation utilise des Storage Zone Controllers exposés ?
Identifiez dans votre inventaire les serveurs Windows hébergeant le composant ShareFile SZC. Vérifiez si des ports (typiquement 443 ou 80) sont exposés directement sur Internet depuis ces serveurs. Si votre organisation ne gère que des comptes ShareFile SaaS sans serveur on-premises, vous n'êtes pas affecté. En cas de doute, contactez votre équipe infrastructure ou votre MSP. Les clients ShareFile peuvent vérifier dans l'interface d'administration si des Storage Zones on-premises sont configurées dans les paramètres "Storage Zones".
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Meta Muse Spark 1.1 : le modèle IA agentique low-cost qui défie OpenAI et Anthropic
Meta a lancé Muse Spark 1.1 le 9 juillet 2026, un modèle IA multimodal conçu pour les agents autonomes et le coding, avec une fenêtre contextuelle d'un million de tokens et une tarification agressive.
OpenAI lance GPT-Live : la voix IA full-duplex qui écoute et parle simultanément
OpenAI a dévoilé le 8 juillet 2026 GPT-Live, un modèle vocal full-duplex capable d'écouter et de parler en même temps, propulsant ChatGPT Voice dans une nouvelle ère conversationnelle.
Injective Labs : 18 packages npm backdoorés pour voler des clés crypto
Des attaquants ont compromis le dépôt GitHub d'Injective Labs le 8 juillet 2026 pour empoisonner 18 packages npm et dérober des clés privées de wallets crypto.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire