Le CERT-FR alerte sur 10 vulnérabilités dans Stormshield Management Center, dont des RCE non authentifiées. Patch SMC 3.9.1 obligatoire pour les opérateurs NIS2.
En bref
- Le CERT-FR a publié l'avis CERTFR-2026-AVI-0483 documentant 10 vulnérabilités dans Stormshield Management Center (SMC), la console centrale d'administration du firewall français.
- Les failles couvrent trois familles : exécution de code à distance, déni de service à distance et atteinte à la confidentialité des données.
- Toutes les versions antérieures à SMC 3.9.1 sont concernées. Le déploiement du correctif est requis dans le cadre de NIS2 et de l'article 32 du RGPD pour les opérateurs concernés.
Les faits
Le 23 avril 2026, le CERT-FR a publié l'avis de sécurité CERTFR-2026-AVI-0483 référençant dix vulnérabilités dans Stormshield Management Center, la console centralisée d'administration des firewalls Stormshield Network Security (SNS). Le bulletin a été relayé en boucle dans le bulletin d'actualité CERTFR-2026-ACT-020 du 4 mai 2026, signe que l'ANSSI considère la vulgarisation auprès des administrateurs comme une priorité opérationnelle.
Les dix CVE référencées (CVE-2025-11187, CVE-2025-68160, CVE-2025-69421, CVE-2026-2003, CVE-2026-2005, CVE-2026-2006, CVE-2026-21713, CVE-2026-21717, CVE-2026-22795, CVE-2026-22796) couvrent un spectre large : exécution de code à distance (RCE), déni de service distant, et atteinte à la confidentialité. Au moins deux d'entre elles permettent une exécution de code arbitraire à distance, scénario le plus grave possible pour un produit qui contrôle l'ensemble des équipements de sécurité périmétriques d'une organisation.
Stormshield SMC est un produit clé du paysage de sécurité français : utilisé par des milliers d'opérateurs publics et privés, il est déployé chez de nombreuses administrations centrales, collectivités territoriales et entreprises classées OIV ou OSE. Compromettre la console SMC d'une organisation, c'est obtenir le contrôle direct de la totalité de ses firewalls — y compris la possibilité de modifier les règles de filtrage, désactiver les inspections, exfiltrer les configurations VPN, et ouvrir des accès internes.
Selon le bulletin de Stormshield (advisories 2026-004, 2026-005, 2026-008 et 2026-009), toutes les versions de SMC antérieures à 3.9.1 sont vulnérables. La mise à niveau vers SMC 3.9.1 ou supérieure constitue le seul correctif éditeur. Pour les organisations contraintes par leurs fenêtres de maintenance, l'isolement de la console (segmentation réseau dédiée, restriction d'accès aux seules IP administrateurs identifiées) reste un palliatif temporaire — mais ne traite pas le risque interne, déjà significatif lorsqu'une RCE non authentifiée est en cause.
L'angle juridique est important. Pour les entités relevant de NIS2, transposée en droit français par le décret du 17 octobre 2025, la non-application d'un correctif éditeur dans un délai raisonnable peut être qualifiée de manquement à l'obligation de mesures techniques appropriées (article 21 NIS2). Pour les opérateurs déjà soumis à la LPM (OIV) ou aux PIIV, l'obligation est encore plus directe via les règles de l'ANSSI. Sur le RGPD, l'article 32 impose des mesures techniques et organisationnelles "appropriées au risque" — et l'avis CERT-FR constitue une publication officielle qui fait basculer la connaissance du risque dans le périmètre de responsabilité.
Le contexte rend cette publication particulièrement sensible. Stormshield, filiale d'Airbus Defence and Space spécialisée dans la sécurité de confiance, est l'un des rares éditeurs français qualifiés par l'ANSSI au niveau "Standard" et "Élémentaire" pour ses pare-feu. Une compromission de la console centrale fragiliserait par ricochet l'ensemble des architectures qui s'appuient sur ce label de souveraineté. La rapidité de publication conjointe ANSSI/Stormshield et la coordination du calendrier (advisory éditeur, avis CERT-FR, bulletin d'actualité) montrent que les deux acteurs traitent le sujet avec professionnalisme — mais le sujet de fond reste : la chaîne d'administration centralisée concentre un risque maximal et doit être protégée en conséquence.
D'un point de vue technique, l'absence à ce jour d'exploit public connu pour ces CVE laisse une fenêtre opérationnelle aux défenseurs. Mais l'historique des consoles d'administration de firewall (Fortinet FortiManager en 2024, Palo Alto Panorama, Cisco FMC) montre qu'elles sont systématiquement ciblées dès qu'une vulnérabilité publique apparaît, par les groupes ransomware comme par les acteurs étatiques. Sur les Fortinet FortiManager, des exploitations de masse ont été observées en moins de 14 jours après publication.
Pour les administrateurs Stormshield, la mise à jour de SMC est en pratique simple, mais doit être planifiée avec attention : la console contrôle des équipements en production, et un redémarrage mal coordonné peut générer des coupures de propagation de configuration. La procédure recommandée par Stormshield consiste à sauvegarder la base de configuration, vérifier la compatibilité avec les versions des SNS managés, puis appliquer la mise à jour pendant une fenêtre de maintenance avec rollback préparé.
Impact et exposition
Toutes les organisations exploitant Stormshield Management Center en version inférieure à 3.9.1 sont exposées. Le périmètre de risque est maximal lorsque la console est accessible depuis le réseau interne global ou, pire, depuis Internet (configuration à proscrire mais encore observée). L'exploitation réussie offre le contrôle de l'ensemble du parc de firewalls SNS pilotés par la console, soit potentiellement plusieurs centaines d'équipements pour les grandes organisations. Les secteurs les plus exposés sont les administrations, hôpitaux, collectivités, et entreprises industrielles ayant déployé Stormshield comme solution de référence pour leur sécurité périmétrique souveraine.
Recommandations
- Identifier en urgence la version SMC déployée et planifier la mise à jour vers SMC 3.9.1 ou supérieure dans les 7 prochains jours.
- D'ici la mise à jour, restreindre l'accès à l'interface SMC à un VLAN d'administration dédié et à une liste blanche d'IP administrateurs, jamais depuis Internet.
- Activer le 2FA sur tous les comptes administrateurs SMC si ce n'est pas déjà le cas.
- Auditer les logs SMC sur les 90 derniers jours pour détecter toute connexion ou modification de configuration suspecte.
- Pour les opérateurs NIS2, OIV ou OSE : documenter la décision de patch et le délai d'application dans le registre des mesures techniques (preuve de diligence).
- Rester abonné aux flux CERT-FR et advisories Stormshield pour les correctifs ultérieurs — l'historique montre que les premières CVE révélées en attirent souvent d'autres.
Alerte critique
La criticité tient moins au score CVSS individuel des CVE qu'à la position de SMC dans l'architecture : compromettre la console, c'est obtenir le contrôle de tous les firewalls qu'elle administre. Pour les OIV, OSE et organisations NIS2, le délai de patch doit être inférieur à 14 jours, conformément aux bonnes pratiques ANSSI sur les équipements d'administration de sécurité.
Notre console SMC n'est exposée qu'en interne, sommes-nous concernés ?
Oui. L'exposition interne ne neutralise pas le risque : un attaquant ayant pris pied dans le SI (phishing, vulnérabilité tierce, compromission d'un poste administrateur) cherchera précisément la console SMC pour pivoter. Le scénario "interne" est même celui privilégié par les opérateurs ransomware pour désactiver les protections avant le chiffrement. Le patch est requis indépendamment de l'exposition externe.
Quelle est la procédure de mise à jour recommandée ?
Sauvegarde complète de la configuration SMC (export de la base et des templates), vérification de la matrice de compatibilité avec les versions de SNS managés, application en fenêtre de maintenance avec une session de rollback préparée. Stormshield documente la procédure dans le bulletin d'accompagnement de la version 3.9.1. Prévoir 30 à 90 minutes selon la taille du parc.
Que faire si nous suspectons une compromission antérieure ?
Auditer les logs d'authentification SMC, les modifications de règles de filtrage, les exports de configuration et les sessions VPN sur les 90 derniers jours. Si un soupçon est confirmé, déclarer l'incident à la CNIL sous 72h (RGPD article 33) et à l'ANSSI si l'organisation relève de la LPM ou NIS2. Une analyse forensique complète est recommandée, idéalement par un PRIS qualifié.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
ShinyHunters frappe Instructure : 275 millions d'utilisateurs Canvas exposés
ShinyHunters revendique le vol de données de 275 millions d'utilisateurs Canvas LMS et 9 000 établissements. Une attaque s'inscrivant dans la vague Salesforce/Salesloft de 2025-2026.
CVE-2026-32202 : Windows Shell exploité par APT28, CISA donne 6 jours
Microsoft confirme l'exploitation active de CVE-2026-32202 par APT28. CISA fixe un délai de 6 jours pour patcher cette faille de coercition NTLM affectant Windows Shell.
VENOMOUS#HELPER : 80 victimes via faux mails SSA et RMM
Securonix dévoile VENOMOUS#HELPER, une campagne de phishing qui a infecté 80 organisations en déployant simultanément SimpleHelp et ScreenConnect.
Commentaires (1)
Laisser un commentaire