En bref

  • La CISA ajoute la faille CVE-2026-1340 d'Ivanti EPMM à son catalogue KEV et impose un patch avant le 11 avril.
  • Cette vulnérabilité critique permet l'exécution de code à distance sans authentification sur les appliances exposées.
  • Exploitée depuis janvier 2026, elle concerne toutes les organisations utilisant Ivanti Endpoint Manager Mobile.

Ce qui s'est passé

L'agence américaine de cybersécurité CISA a ajouté lundi la vulnérabilité CVE-2026-1340 à son catalogue des vulnérabilités exploitées connues (KEV). Cette faille critique d'injection de code dans Ivanti Endpoint Manager Mobile (EPMM) permet à un attaquant non authentifié d'obtenir une exécution de code à distance sur les appliances exposées sur Internet. La directive opérationnelle BOD 22-01 impose aux agences fédérales de corriger leurs systèmes avant samedi minuit, le 11 avril.

Ivanti avait déjà publié des correctifs de sécurité le 29 janvier 2026 pour cette faille ainsi que pour une seconde vulnérabilité associée, CVE-2026-1281. L'éditeur avait alors « fortement encouragé » ses clients à mettre à jour immédiatement, signalant que les deux failles étaient déjà exploitées comme zero-days. Malgré cet avertissement, de nombreuses instances restent vulnérables plus de deux mois après la publication du patch, d'après les données de la communauté de recherche en sécurité.

La CISA a désormais référencé 33 vulnérabilités Ivanti dans son catalogue KEV, dont 12 ont été utilisées par des opérateurs de ransomware. Selon BleepingComputer, 83 % des tentatives d'exploitation observées en février provenaient d'une seule adresse IP hébergée sur une infrastructure bulletproof, ce qui suggère une campagne coordonnée et persistante.

Pourquoi c'est important

Ivanti EPMM est utilisé par des milliers d'organisations pour gérer les appareils mobiles de leurs collaborateurs. Une compromission de cette plateforme donne un accès direct au réseau interne et aux données des terminaux gérés. Le fait que la faille soit exploitée depuis janvier sans que toutes les instances soient patchées illustre un problème récurrent : le décalage entre la publication d'un correctif et son application effective. Pour les organisations françaises soumises à NIS2, ce type de vulnérabilité activement exploitée doit déclencher une réponse immédiate dans le cadre de la gestion des risques.

Ce qu'il faut retenir

  • Patcher immédiatement Ivanti EPMM si vous utilisez ce produit — la faille CVE-2026-1340 est activement exploitée.
  • Vérifier les journaux d'accès de vos appliances EPMM pour détecter d'éventuelles compromissions depuis janvier.
  • Intégrer les flux KEV de la CISA à votre processus de gestion des vulnérabilités pour prioriser les correctifs critiques.

Comment savoir si mon instance Ivanti EPMM est vulnérable ?

Vérifiez la version installée de votre appliance EPMM. Les versions antérieures au patch du 29 janvier 2026 sont vulnérables. Ivanti fournit un outil de vérification dans sa base de connaissances. Si votre appliance est exposée sur Internet, considérez-la comme potentiellement compromise et lancez une investigation avant même d'appliquer le correctif.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact