La CISA ajoute des failles Microsoft et SonicWall au catalogue KEV
La CISA intègre quatre vulnérabilités activement exploitées impactant SonicWall SMA1000, Microsoft SharePoint et AD FS à son catalogue KEV.

Le catalogue des vulnérabilités exploitées connues (KEV, pour Known Exploited Vulnerabilities) administré par l'Agence de sécurité de l'infrastructure et de la cybersécurité des États-Unis (CISA) est l'une des ressources de renseignement sur les menaces les plus influentes au monde. Lorsqu'une faille de sécurité intègre cette liste, il ne s'agit pas d'une simple alerte théorique : cela signifie que des acteurs malveillants, qu'il s'agisse de cybercriminels opportunistes ou de groupes étatiques, exploitent activement ce défaut dans des campagnes d'attaque réelles.
Le 14 juillet 2026, la CISA a mis à jour son catalogue en y ajoutant quatre nouvelles vulnérabilités critiques affectant les appliances périmétriques de SonicWall ainsi que des composants majeurs de l'écosystème d'entreprise de Microsoft (SharePoint et AD FS). Cette mise à jour impose aux agences fédérales américaines et aux entreprises privées du monde entier de prioriser immédiatement la correction de ces failles.
Détail des vulnérabilités ajoutées au catalogue
Les nouvelles entrées du catalogue KEV comprennent des failles allant de la falsification de requêtes côté serveur à l'élévation de privilèges non autorisée. Voici les caractéristiques essentielles des CVE ajoutés :
| Identifiant CVE | Constructeur & Produit Affecté | Type de Vulnérabilité | Gravité (Score CVSS) | Date Limite de Correction KEV |
|---|---|---|---|---|
| CVE-2026-15409 | SonicWall SMA1000 | Server-Side Request Forgery (SSRF) | Critique (10.0) | 17 Juillet 2026 |
| CVE-2026-15410 | SonicWall SMA1000 | Injection de Code dans la Console de Gestion | Élevée (7.2) | 17 Juillet 2026 |
| CVE-2026-56155 | Microsoft Active Directory AD FS | Élévation Locale de Privilèges | Moyenne-Élevée (6.8) | Correction Immédiate |
| CVE-2026-56164 | Microsoft SharePoint Server | Élévation de Privilèges Réseau (Absence d'Auth) | Élevée (7.8) | Correction Immédiate |
Analyse technique des menaces et vecteurs d'attaque
1. Le double danger périmétrique chez SonicWall SMA1000
Les dispositifs de la série SMA1000 (Secure Mobile Access) de SonicWall sont des appliances physiques et virtuelles conçues pour offrir un accès distant sécurisé (VPN et SSL-VPN) aux ressources des réseaux d'entreprise. La faille CVE-2026-15409 affiche la gravité maximale sur l'échelle CVSS. Cette vulnérabilité SSRF permet à des attaquants externes non authentifiés de forcer l'appareil à envoyer des requêtes HTTP malveillantes vers des interfaces d'administration locales ou des serveurs internes normalement inaccessibles.
En parallèle, la faille CVE-2026-15410 concerne une injection de code dans le portail d'administration de la console. En combinant ces deux failles, des cybercriminels peuvent contourner les contrôles d'accès du pare-feu et exécuter du code arbitraire avec les privilèges d'administrateur système sur l'appareil SonicWall.
2. Élévation de privilèges dans Active Directory Federation Services (AD FS)
AD FS est la technologie de Microsoft permettant l'authentification unique (SSO) fédérée entre différentes applications d'entreprise. La faille CVE-2026-56155 est classée comme un défaut de granularité dans les contrôles d'accès. Un attaquant local disposant d'identifiants utilisateur de base sur le domaine peut exploiter cette faille pour élever ses privilèges au niveau d'administrateur du service AD FS, prenant ainsi le contrôle des jetons d'authentification de l'organisation et obtenant le pouvoir d'usurper l'identité de n'importe quel compte.
3. Accès non authentifié dans SharePoint Server
Microsoft SharePoint Server est le cœur de la gestion documentaire et des intranets de milliers d'entreprises. La faille CVE-2026-56164 provient de l'absence de vérification d'authentification pour des fonctions critiques du serveur SharePoint. Un attaquant ayant une visibilité réseau sur le serveur SharePoint peut élever ses privilèges à distance, lui permettant de télécharger des documents confidentiels et des bases de données entières sans posséder de compte utilisateur légitime préalable.
Le défi de la gestion des correctifs en Juillet 2026
L'intégration de ces failles dans le catalogue KEV coïncide avec la publication de l'une des mises à jour de type "Patch Tuesday" les plus denses de l'histoire de Microsoft, corrigeant un total de 622 vulnérabilités dans divers environnements.
Pour les équipes informatiques et de cybersécurité, ce volume important d'alertes rend le tri et la priorisation extrêmement complexes. Néanmoins, la directive de la CISA fournit une orientation claire : les ressources de correction immédiates doivent se concentrer sur les failles qui sont déjà activement exploitées dans la nature. La mise à jour des serveurs AD FS et SharePoint doit donc être réalisée en priorité absolue avant de traiter le reste des correctifs non exploités du Patch Tuesday.
Renforcer la sécurité des accès grâce à la technologie TOTP
Une grande partie de ces attaques visant à détourner des consoles d'administration ou à contourner l'authentification peut être atténuée efficacement en protégeant les accès par une double authentification (2FA) stricte basée sur des mots de passe à usage unique basés sur le temps (TOTP).
L'algorithme TOTP ajoute un facteur dynamique qui change à intervalles réguliers (généralement toutes les 30 secondes). Cela rend inutile le vol d'identifiants statiques ou l'élévation de privilèges basique, car l'attaquant devrait également disposer du secret cryptographique présent sur le jeton matériel ou logiciel de l'utilisateur.
Pour générer de manière autonome et sécurisée vos codes de double authentification, vous pouvez vous appuyer sur le Générateur TOTP de TecnoCrypter.
Démonstration technique de l'algorithme TOTP (RFC 6238)
Le fonctionnement logique du protocole TOTP consiste à combiner une clé secrète partagée avec l'horodatage système actuel à l'aide de fonctions de hachage. Voici un exemple en Python montrant comment les systèmes génèrent et valident un jeton à 6 chiffres selon les spécifications de l'IETF (RFC 6238) :
import time
import hmac
import hashlib
import struct
def generer_code_totp(secret: bytes, interval: int = 30, digits: int = 6) -> str:
"""
Implémentation de base de la génération de jetons TOTP.
"""
# 1. Calculer le nombre d'intervalles de temps écoulés depuis l'Epoch Unix
pas_temps = int(time.time() / interval)
# Convertir la valeur temporelle en binaire 64 bits (Big Endian)
message = struct.pack(">Q", pas_temps)
# 2. Générer la signature HMAC-SHA1 en utilisant le secret et le message de temps
signature = hmac.new(secret, message, hashlib.sha1).digest()
# 3. Troncature dynamique pour extraire 4 octets de la signature de manière déterministe
offset = signature[-1] & 0x0f
code_binaire = struct.unpack(">I", signature[offset:offset+4])[0] & 0x7fffffff
# 4. Formater les chiffres requis
token = code_binaire % (10 ** digits)
return str(token).zfill(digits)
# Clé secrète de démonstration (généralement décodée depuis le format Base32)
cle_mfa_demo = b"CLE_SECRETE_SYSTEMES_2026"
print("Jeton d'accès dynamique actuel :", generer_code_totp(cle_mfa_demo))
L'intégration de contrôles basés sur ce modèle pour sécuriser les consoles d'administration ou les serveurs bloque immédiatement les tentatives d'accès distant non autorisées issues d'exploits qui ne possèdent pas ce jeton physique de validation.
Recommandations d'action immédiate pour les équipes IT
Si votre entreprise utilise Windows Server, des serveurs SharePoint sur site ou des appliances de sécurité SonicWall, il est fortement conseillé d'appliquer immédiatement les mesures suivantes :
- Mise à jour urgente de SonicWall SMA1000 : Installez les correctifs fournis par le constructeur sur vos équipements SMA1000 avant l'échéance critique fixée par la CISA.
- Analyse des journaux d'activité (logs) : Compte tenu de l'exploitation active, sauvegardez les fichiers de logs de connexion de SonicWall et SharePoint avant d'appliquer les mises à jour pour identifier d'éventuelles intrusions antérieures à l'application du correctif.
- Restriction de l'accès aux consoles : Désactivez l'exposition directe sur Internet des consoles d'administration AD FS et des portails SharePoint, en restreignant leur accès aux seuls utilisateurs connectés via un réseau privé virtuel (VPN) d'entreprise sécurisé.
- Partage sécurisé des secrets MFA : Lors de la configuration des comptes TOTP pour vos administrateurs, veillez à ne jamais transmettre les clés secrètes ou codes QR via des messageries d'entreprise classiques. Suivez les consignes détaillées dans notre guide sur comment partager des mots de passe en toute sécurité sur Internet.
Conclusion
Le catalogue KEV de la CISA nous rappelle régulièrement que la cybersécurité d'entreprise se joue sur la réactivité. L'exploitation active de failles de sécurité majeures dans les outils Microsoft et SonicWall SMA1000 souligne l'importance d'une gestion rigoureuse des identités. Pour en savoir plus sur la conception d'architectures réseau sécurisées et la protection des flux de données, nous vous invitons à consulter nos dossiers sur le chiffrement côté client ainsi que sur le chiffrement de bout en bout.

