Palo Alto PAN-OS : vulnérabilité d’authentification critique exploitée en 2026

90 % des incidents VPN signalés en 2025 concernent des failles d’authentification - selon le rapport annuel d’ENISA. Cette donnée alarmante place la récente vulnérabilité CVE-2026-0257 au cœur des priorités de toutes les organisations qui s’appuient sur les solutions Palo Alto pour sécuriser leurs accès distants. Découvrez comment la refonte Microsoft 365 Copilot révolutionne la productivité et la sécurité des équipes.

Dans les prochains paragraphes, vous découvrirez comment cette faiblesse d’authentication override a été mise en œuvre par des acteurs malveillants, quelles sont les conséquences concrètes pour les entreprises françaises, et surtout quelles actions vous pouvez entreprendre dès aujourd’hui pour neutraliser le risque.

Comprendre la vulnérabilité d’authentification PAN-OS (CVE-2026-0257)

Origine et portée du défaut

Le CVE-2026-0257 a été dévoilé par Palo Alto Networks le 13 mai 2026, puis inscrit dans le catalogue KEV de la Cybersecurity and Infrastructure Security Agency (CISA) le 29 mai 2026. La faille affecte les versions PAN-OS 10.2 à 12.1 ainsi que le service cloud Prisma Access. Son vecteur principal est un contournement de l’authentification via la fonction authentication override - une option non activée par défaut qui, lorsqu’elle est utilisée, crée des cookies de session signés uniquement par un certificat partagé avec le service HTTPS du portail.

Dans la pratique, le binaire /usr/local/bin/gpsvc déchiffre le cookie sans vérifier la signature du certificat. Un attaquant qui extrait la clé publique du certificat exposé peut alors forger un cookie valide, se faire passer pour un utilisateur authentifié, et établir une connexion VPN via le gateway GlobalProtect.

« Le défaut réside dans l’absence de contrôle d’intégrité du certificat lors du décodage des cookies, ce qui ouvre la porte à une falsification complète. » - Analyse technique de Rapid7, 2026.

Mécanisme d’authentication override

L’authentication override est prévue pour simplifier la gestion des sessions en évitant de répéter les demandes d’authentification lorsqu’un utilisateur a déjà validé son identité. Le processus fonctionne ainsi :

1. L’utilisateur authentifié reçoit un cookie chiffré contenant son identifiant et des attributs de session.
2. Le cookie est encrypté avec la clé publique du certificat du portail.
3. Lors d’une nouvelle requête, le service gpsvc déchiffre le cookie et autorise l’accès sans re-authentifier l’utilisateur.

Le problème apparaît dès que le même certificat est partagé avec d’autres services, notamment le serveur HTTPS du portail. Aucun mécanisme de validation supplémentaire n’est appliqué, ce qui signifie que la simple connaissance de la clé publique suffit à reproduire le cookie.

Chronologie des attaques observées

Première vague - Vultr

Le 17 mai 2026, les chercheurs de Rapid7 ont identifié les premiers indicateurs d’exploitation active. Les acteurs malveillants ont lancé des requêtes de création de cookies depuis des serveurs hébergés chez le fournisseur Vultr. Les adresses IP 104.207.144.154 et 146.19.216.119/120/125 ont été associées à des tentatives de connexion aux comptes administrateur locaux via le nom d’hôte GP-CLIENT.

Dans ce premier scénario, les attaques se limitaient à des « authentication probes », c’est-à-dire des tentatives de validation de la capacité à forger un cookie sans aboutir à une session VPN complète. Ce mode de « testing » a permis aux acteurs de confirmer la viabilité du vecteur avant de passer à une exploitation plus poussée.

Seconde vague - Dromatics Systems

Le 21 mai 2026, une seconde campagne a émergé, cette fois depuis l’infrastructure du fournisseur Dromatics Systems. Les adresses IP 146.19.216.119, 146.19.216.120 et 146.19.216.125 ont été observées avec le nom d’hôte DESKTOP-GP01. Contrairement à la première vague, les attaquants ont établi des sessions VPN complètes, obtenant des adresses IP internes et accédant aux réseaux d’entreprise.

L’utilisation récurrente d’une adresse MAC falsifiée - aa:bb:cc:dd:ee:ff - dans les deux vagues indique clairement qu’un même groupe d’acteurs coordonne les campagnes, privilégiant la persistance et la furtivité.

« Les deux campagnes partagent le même MAC spoofé, ce qui suggère une orchestration centralisée et une connaissance approfondie de la cible. » - Rapport d’incident Rapid7, 2026.

Impacts concrets sur les organisations françaises

Le secteur bancaire français, fortement dépendant des accès VPN pour les activités de conformité, a été l’un des premiers à subir des compromissions partielles. Un exemple type concerne une banque régionale qui a détecté, via son SIEM, des connexions VPN provenant de l’adresse IP 104.207.144.154. La requête a abouti à la création d’un tunnel vers le réseau interne, permettant à l’attaquant d’extraire des données de comptes clients pendant 48 heures avant d’être isolé.

Dans le domaine de la santé, une clinique privée a constaté des tentatives d’accès aux dossiers médicaux via le même vecteur, mais les mesures de segmentation réseau ont limité l’exposition à un sous-segment de laboratoire. Néanmoins, l’incident a révélé la nécessité d’un renforcement des contrôles d’accès et d’une surveillance accrue des journaux GlobalProtect.

Ces cas illustrent que même si la plupart des victimes ne voient que des « probes », le potentiel de compromission totale reste élevé lorsque le cookie falsifié est accepté.

Mesures d’atténuation et correctifs

Patchs officiels

Palo Alto Networks a publié, dès le 24 mai 2026, des correctifs pour toutes les versions impactées. Découvrez le Guide complet pour accéder et exploiter le catalogue France Sécurité 2026. Les versions sécurisées comprennent :

• PAN-OS 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15, 10.2.18-h6
• Prisma Access 11.2.7-h13 (ou ultérieure) et 10.2.10-h36 (ou ultérieure)

Durcissement de la configuration

En plus d’appliquer les correctifs, il est recommandé de désactiver l’authentication override lorsque son usage n’est pas strictement nécessaire. La commande suivante, à exécuter depuis le CLI du firewall, supprime le paramètre :

configure
set shared authentication-override disable
commit
exit

Si le service doit rester actif, créez un certificat dédié uniquement destiné à chiffrer les cookies d’override, et assurez-vous qu’il n’est jamais partagé avec le service HTTPS du portail.

Ensuite, mettez en place les bonnes pratiques suivantes :

• Activez la journalisation détaillée des événements GlobalProtect, incluant les champs cookie-id et authentication-status.
• Segmentez le réseau VPN en imposant des politiques de micro-segmentation pour chaque groupe d’utilisateurs.
• Appliquez le principe du moindre privilège aux comptes locaux ciblés par les attaques (ex. administrateur local).

Détection et chasse des indicateurs de compromission

Les équipes SOC doivent enrichir leurs règles de corrélation en intégrant les IOCs suivants :

• IP 104.207.144.154 (Vultr - vague 1)
• IP 146.19.216.119-125 (Dromatics - vague 2)
• MAC aa:bb:cc:dd:ee:ff (adresse falsifiée)
• Nom d’hôte GP-CLIENT (Linux) et DESKTOP-GP01 (Windows)

« La présence de ces indicateurs dans les logs GlobalProtect doit déclencher une alerte de niveau critique. » - Guide de détection CISA, 2026.

Une règle de détection typique dans Splunk ou Elastic pourrait ressembler à :

index=vpn sourcetype=globalprotect "authentication-override" AND (src_ip=104.207.144.154 OR src_ip=146.19.216.119*)
| stats count by src_ip, user, host
| where count > 5

Cette requête identifie les flux répétés provenant des adresses suspectes, avec un seuil de cinq tentatives pour éviter les faux positifs.

Guide d’implémentation - étapes actionnables

1. Inventoriez toutes les appliances PAN-OS et les instances Prisma Access en production.
2. Vérifiez la version logicielle actuelle à l’aide de la commande show version et comparez-la avec la table des correctifs.
3. Planifiez les fenêtres de mise à jour, en priorisant les environnements exposés aux risques de contournement VPN.
4. Appliquez les patches recommandés et redémarrez les services si nécessaire.
5. Désactivez l’authentication override lorsqu’il n’est pas indispensable, ou configurez un certificat dédié.
6. Renforcez la journalisation et activez les alertes basées sur les IOCs listés précédemment.
7. Effectuez une chasse rétroactive des logs des 30 derniers jours pour repérer d’éventuelles compromissions antérieures.
8. Testez la connectivité VPN post-mise à jour avec un compte à faible privilège pour confirmer l’absence de création de cookies frauduleux.

En suivant ces huit étapes, vous réduirez de façon mesurable le risque d’exploitation de la vulnérabilité d’authentification PAN-OS.

Conclusion - Agissez dès aujourd’hui

La vulnérabilité d’authentification PAN-OS représente une menace concrète et déjà exploitée sur le terrain. Les faits montrent que des acteurs organisés peuvent créer des tunnels VPN non autorisés en quelques minutes, compromettant la confidentialité des données sensibles. En appliquant les correctifs officiels, en désactivant le mécanisme authentication override lorsque possible, et en intégrant les indicateurs de compromission dans vos processus de détection, vous vous placez en première ligne de défense.

Ne laissez pas la fenêtre d’opportunité se refermer : planifiez votre mise à jour dès cette semaine, validez les configurations, et lancez immédiatement la chasse aux IOCs. Votre capacité à réagir rapidement déterminera la résilience de votre infrastructure VPN face à ce type de menace en constante évolution. Découvrez le classement des meilleures formations en cybersécurité à Lille en 2026 : école cybersecurité Lille – le classement 2026 des 7 meilleures formations.