Stormshield SNS : RCE sans authentification CVSS 9.1

Les faits

Le 26 mai 2026, le CERT-FR a publié l'alerte CERTFR-2026-ALS-006, signalant une vulnérabilité critique dans Stormshield Network Security (SNS), le pare-feu phare de l'éditeur français Stormshield. Avec un score CVSS de 9.1, cette faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur les équipements vulnérables. Le niveau de sévérité et la nature du produit concerné — un périmètre de sécurité réseau — en font l'une des alertes les plus critiques publiées par le CERT-FR en 2026.

Stormshield est un acteur incontournable de la cybersécurité française. Filiale d'Airbus Defence and Space depuis 2015, l'entreprise dont le siège est à Paris commercialise des produits de sécurité réseau qualifiés par l'ANSSI et déployés massivement dans les administrations publiques françaises, les Opérateurs d'Importance Vitale (OIV), les forces armées, et des milliers d'entreprises et d'établissements de santé. La qualification de sécurité de l'ANSSI est accordée aux produits Stormshield SNS pour leur robustesse — ce qui rend d'autant plus préoccupante la découverte d'une faille de cette criticité sur un produit d'une telle importance stratégique.

Les détails techniques complets de la vulnérabilité sont documentés dans l'avis CERTFR-2026-AVI-0631. La faille réside dans un composant exposé sur l'interface réseau de l'appliance SNS. Sa nature exacte — débordement de tampon, injection de commande, ou désérialisation non sécurisée — n'a pas été divulguée publiquement pour laisser aux administrateurs le temps de patcher avant la publication d'un exploit opérationnel. Ce qui est certain : l'exploitation ne requiert aucune authentification préalable, ce qui abaisse drastiquement la barrière d'entrée pour un attaquant ayant un accès réseau à l'équipement.

Un équipement SNS compromis représente un scénario catastrophique. Le pare-feu Stormshield n'est pas un composant parmi d'autres : c'est la pièce maîtresse de la défense périmétrique. Il orchestre le filtrage réseau, l'inspection de flux SSL/TLS, la terminaison VPN (IKEv1/IKEv2, SSL), le système de prévention d'intrusion (IPS), et souvent le filtrage applicatif de tout le trafic entrant et sortant de l'organisation. Un attaquant contrôlant le SNS dispose d'une position privilégiée pour intercepter des communications, créer des tunnels de persistance, désactiver les mécanismes de filtrage, et pivoter librement vers le réseau interne.

Le contexte d'exposition est particulièrement préoccupant pour les déploiements où l'interface d'administration WebAdmin ou le portail VPN SSL est directement accessible depuis internet — une configuration fréquente pour les équipes IT en télétravail ou les accès distants. Dans ce scénario, l'exploitation est triviale : un attaquant disposant de la requête correcte peut compromettre l'appliance sans jamais avoir besoin d'identifiants valides. Les déploiements avec interface d'administration strictement cloisonnée sur un VLAN de management dédié présentent un risque d'exploitation externe réduit, mais pas nul — notamment en cas de compromission préalable d'un accès interne.

L'alerte CERTFR-2026-ALS-006 mentionne également Trend Micro Apex One dans le même contexte d'urgence. Trend Micro Apex One est une solution de protection des endpoints (EPP/EDR) déployée en entreprise. Une faille dans cet outil — qui tourne avec des privilèges système élevés sur chaque endpoint protégé — ouvre la voie à des compromissions en masse des postes de travail et serveurs sous protection. La publication simultanée de ces deux alertes par le CERT-FR illustre l'ampleur de la journée du 26 mai 2026 en termes d'exposition pour les organisations françaises.

Stormshield a mis à disposition des correctifs pour les versions affectées de SNS dès la publication de l'alerte. La politique de disclosure coordonnée a été respectée : l'éditeur a eu connaissance de la vulnérabilité en amont et a développé le patch avant la publication publique. Cependant, l'expérience montre que le délai de déploiement des correctifs sur des équipements réseau de périmètre est souvent sous-estimé. Les fenêtres de maintenance, les validations préalables et la crainte d'indisponibilité poussent certains administrateurs à reporter des opérations de patch pourtant urgentes. Selon les statistiques du CERT-FR, les délais moyens de déploiement de correctifs sur des équipements réseau en France dépassent souvent 30 jours — une éternité face à des acteurs de la menace qui testent activement les nouvelles CVE en moins de 72 heures après publication.

Il est impératif de vérifier dans les journaux d'accès de l'équipement SNS toute activité anormale depuis le 26 mai 2026. Les IOCs à rechercher incluent des requêtes HTTP anormales vers les endpoints de l'interface d'administration, des authentifications avec des comptes inconnus, des modifications de la configuration du pare-feu, ou des tunnels VPN établis depuis des adresses IP non répertoriées. En l'absence de logs centralisés dans un SIEM, l'audit des fichiers de logs locaux de l'appliance SNS reste la méthode de détection disponible.

Impact et exposition

Toutes les organisations déployant Stormshield Network Security dans les versions concernées par l'avis CERTFR-2026-AVI-0631 sont exposées. La criticité est maximale pour les équipements avec interface WebAdmin ou portail VPN SSL accessible depuis internet. Les administrations publiques françaises, OIV, établissements de santé et collectivités territoriales utilisant Stormshield SNS comme équipement de périmètre principal doivent considérer cette mise à jour comme une priorité de niveau P1 sans délai.

Recommandations

• Appliquer immédiatement le correctif Stormshield documenté dans CERTFR-2026-AVI-0631 — planifier une fenêtre de maintenance d'urgence si nécessaire
• En attente du patch, restreindre l'accès à l'interface WebAdmin et au portail VPN SSL aux seules adresses IP de confiance via une ACL dédiée
• Auditer les journaux d'accès depuis le 26 mai 2026 à la recherche de connexions anormales ou de tentatives d'accès non authentifiées
• Vérifier l'intégrité de la configuration SNS : règles de filtrage, comptes administrateurs, tunnels VPN actifs
• Pour Trend Micro Apex One : consulter l'advisory de l'éditeur et déployer le correctif correspondant sur tous les endpoints protégés