Stormshield SNS : RCE non-auth CVSS 9.1, alerte CERT-FR

Les faits

Le 26 mai 2026, le CERT-FR — Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, rattaché à l'ANSSI — a publié une alerte de niveau CRITIQUE sous la référence CERTFR-2026-ALS-006. Cette alerte concerne une vulnérabilité d'exécution de code à distance (Remote Code Execution, RCE) dans les produits Stormshield Network Security (SNS), le firewall UTM (Unified Threat Management) de l'éditeur français Stormshield, filiale d'Airbus CyberSecurity. Le score CVSS de la vulnérabilité est de 9.1, catégorie Critique.

La caractéristique la plus alarmante est son vecteur d'exploitation : un attaquant distant et non authentifié peut exécuter du code arbitraire sur l'appliance SNS. Aucune interaction d'un administrateur n'est requise. La faille peut être déclenchée directement depuis Internet si l'interface d'administration du firewall est accessible depuis l'extérieur — ce qui est malheureusement le cas dans de nombreux déploiements, notamment en PME où les contraintes opérationnelles limitent l'application des bonnes pratiques de cloisonnement.

La nature même du produit ciblé rend cette vulnérabilité particulièrement préoccupante. Stormshield Network Security est un firewall UTM déployé massivement dans des administrations françaises, des collectivités territoriales, des hôpitaux, des établissements d'enseignement supérieur, et des PME/ETI de secteurs sensibles. Un firewall compromis cesse instantanément d'être un élément de protection pour devenir un point d'accès privilégié à l'ensemble du réseau qu'il protégeait. L'attaquant peut intercepter tout le trafic réseau, modifier des règles de filtrage, ouvrir des tunnels VPN non autorisés, ou utiliser l'appliance comme pivot pour des mouvements latéraux vers le reste du SI.

Stormshield Network Security est certifié par l'ANSSI sous le schéma Critères Communs au niveau EAL3+, et qualifié pour le traitement de données jusqu'au niveau Diffusion Restreinte (DR). Cette certification rend son utilisation quasi-obligatoire dans de nombreux contextes sensibles de l'administration française et des opérateurs d'importance vitale (OIV). Une RCE non-authentifiée CVSS 9.1 dans un produit de cette nature représente un risque systémique pour la sécurité des SI publics français.

La Stormshield Management Center (SMC) — la console centralisée de gestion des appliances SNS dans les déploiements multi-sites — avait déjà fait l'objet de 10 vulnérabilités documentées par le CERT-FR dans un avis distinct (CERTFR-2026-AVI-0631). SMC et SNS forment souvent une architecture couplée dans les grandes organisations : une compromission de l'une facilite l'exploitation de l'autre. L'accumulation de CVE sur ces deux produits en 2026 signale une période de revue de sécurité approfondie, probablement conduite par des chercheurs tiers — une bonne pratique en soi, dont les résultats imposent une réactivité maximale de la part des équipes déployant ces produits.

Parallèlement à CERTFR-2026-ALS-006, le CERT-FR avait également alerté sur CVE-2026-34926 ciblant Trend Micro Apex One (CVSS 8.8), ajoutée au catalogue KEV CISA le 24 mai 2026. Cette simultanéité souligne une tendance lourde de 2026 : les solutions de sécurité elles-mêmes — firewalls, antivirus, EDR, gestionnaires d'identité — sont devenues des cibles de premier rang pour les attaquants sophistiqués. Compromettre un produit de sécurité offre un double bénéfice stratégique : accès au réseau protégé et neutralisation simultanée de la défense.

Stormshield a diffusé un patch correctif disponible sur son portail clients (my.stormshield.eu) dès la publication de l'alerte CERT-FR. Les organisations doivent récupérer ce patch en priorité absolue et l'appliquer en suivant les procédures de mise à jour Stormshield — procédure impliquant généralement un redémarrage de l'appliance et donc une courte coupure réseau planifiée. Pour les sites sans fenêtre de maintenance disponible immédiatement, il est impératif d'isoler au minimum l'interface d'administration SNS du réseau public dans l'attente du patch.

Impact et exposition

Les organisations les plus exposées sont celles dont l'interface d'administration Stormshield SNS est accessible depuis Internet (port HTTPS par défaut sur l'interface de management). En cas d'exploitation réussie, l'attaquant obtient des droits d'exécution sur l'OS de l'appliance, avec une capacité de persistance (modification du firmware, ajout de règles NAT, création de comptes backdoor). Les environnements multi-sites gérés via SMC sont particulièrement à risque : une compromission d'un site peut permettre de remonter vers SMC et d'atteindre toutes les appliances gérées centralement, soit potentiellement l'ensemble du réseau d'une organisation multi-sites.

Recommandations

• Immédiat : télécharger et appliquer le patch SNS disponible sur le portail clients Stormshield (my.stormshield.eu) lors de la première fenêtre de maintenance disponible
• Isoler l'interface d'administration SNS du réseau de production et du réseau public — l'administration doit se faire depuis un réseau de management dédié ou via un bastion
• Vérifier les logs d'audit SNS pour des connexions non autorisées ou des modifications de configuration depuis le 26 mai 2026
• Si déploiement SMC couplé : vérifier l'intégrité de SMC et les comptes administrateurs définis dans la console centrale
• Contacter le support Stormshield pour un diagnostic d'exposition si l'interface d'administration a été accessible depuis Internet