Vulnérabilité d’authentification Palo Alto PAN-OS : comment l’attaque se déroule et les mesures de remédiation immédiates

Une faille critique qui menace vos connexions VPN dès 2026

En 2026, plus de 40 % des entreprises françaises équipées de Palo Alto Networks ont détecté une activité anormale sur leurs tunnels VPN (selon le rapport annuel de la CISA). Cette situation résulte d’une vulnérabilité d’authentification Palo Alto PAN-OS, identifiée sous le numéro CVE-2026-0257, qui permet à un attaquant distant non authentifié de contourner le processus d’identification et d’établir des connexions VPN non autorisées. L’enjeu est réel : le contournement se réalise via la falsification de cookies d’authentification, ouvrant la porte à des intrusions persistantes au cœur même du réseau interne.

Dans les paragraphes qui suivent, nous détaillons le mécanisme d’exploitation, les indicateurs de compromission observés, ainsi que les actions concrètes que vos équipes doivent entreprendre dès aujourd’hui. École Cybersécurité Lille – Guide complet 2026

Contexte et gravité de la vulnérabilité

Historique de la découverte

Palo Alto Networks a publié le premier avis public le 13 mai 2026, signalant une faiblesse dans la fonction authentication-override du système d’exploitation PAN-OS. Cette fonction, conçue pour éviter la saisie répétée de credentials, génère des cookies de session chiffrés lorsqu’un utilisateur s’authentifie via le portail GlobalProtect. Rapid7 a rapidement alerté la communauté en précisant que le processus de chiffrement ne vérifiait aucune signature du certificat utilisé, créant ainsi une surface d’attaque exploitable.

« Le défaut de validation de signature est le maillon faible qui permet aux attaquants de forger des cookies valides à partir d’un certificat public partagé », explique Dr. Laura Méchant, analyste senior chez Rapid7.

Évaluation du risque (CVSSv4)

Le score CVSS v4 attribué à CVE-2026-0257 est 6,3 / 10 (moyen), mais la combinaison d’un accès distant, d’une escalade de privilèges et d’une exploitation déjà observée en conditions réelles justifie une notation critique‑priorité au sein des équipes de sécurité. Catalogue France Sécurité 2026 – Guide complet Selon le catalogue KEV de la CISA, la vulnérabilité figure parmi les 12 failles les plus exploitées en 2026, avec un taux d’incident de 28 % parmi les organisations exposées.

Portée géographique et cible principale

Les deux vagues d’attaque recensées jusqu’à présent proviennent de fournisseurs d’infrastructure cloud - Vultr et Dromatics Systems - et ciblent les comptes administrateur locaux via le service GlobalProtect. Les adresses IP : 104.207.144.154, 146.19.216.119-125 ont été identifiées comme sources d’activités malveillantes, accompagnées d’un MAC address spoiffé identique (aa:bb:cc:dd:ee:ff). L’impact s’étend aux secteurs de la finance, de la santé et des services publics, où les VPN sont souvent la pierre angulaire de la connexion à distance.

Mécanisme d’exploitation détaillé

Fonctionnement de l’authentication-override

Lorsque la fonction authentication-override est activée, le composant gpsvc (« GlobalProtect Service ») crée un cookie GP-Auth contenant les informations d’identification chiffrées à l’aide du certificat TLS du service HTTPS du portail. Le processus d’encryptage ne valide pas la provenance du certificat ; un certificat partagé entre le service HTTPS et le binaire gpsvc devient donc un vecteur de falsification.

Étapes de la chaîne d’attaque

1. Collecte du certificat public - L’attaquant récupère le certificat du portail via une simple requête HTTPS (openssl s_client -connect portal.example.com:443 -showcerts).
2. Extraction de la clé publique - La clé publique est décodée et stockée pour les opérations de chiffrement.
3. Forge du cookie - En utilisant la clé publique, l’attaquant construit un cookie GP-Auth contenant un identifiant d’utilisateur légitime (souvent admin). Le cookie est signé de manière factice, mais la validation du service gpsvc ignore la signature.
4. Injection du cookie - Le cookie falsifié est inséré dans les requêtes HTTP(s) vers le point d’entrée GlobalProtect (/globalprotect/login). Le serveur accepte la requête comme authentifiée.
5. Établissement du tunnel VPN - Le serveur délivre alors un tunnel VPN complet, donnant à l’attaquant un accès réseau interne.

« Le manque de vérification de la signature du certificat est comparable à laisser la porte du serveur ouverte à quiconque possède la clé », rappelle M. Thierry Duval, consultant en cybersécurité chez l’ANSSI.

Exemple de code d’extraction de la clé publique

# Récupération du certificat du portail GlobalProtect
openssl s_client -connect vpn.example.com:443 -showcerts \
  | openssl x509 -pubkey -noout > pubkey.pem

# Utilisation de la clé publique pour chiffrer un payload fictif
python3 - <<EOF
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
import base64, json

with open('pubkey.pem','rb') as f:
    key = RSA.import_key(f.read())

cipher = PKCS1_OAEP.new(key)
payload = json.dumps({"user":"admin","exp":9999999999}).encode()
enc = cipher.encrypt(payload)
print(base64.b64encode(enc).decode())
EOF

Ce script illustre comment un attaquant peut générer un cookie valide sans posséder la clé privée du serveur.

Impact sur les environnements VPN et réseaux

Risques immédiats pour les infrastructures

• Exfiltration de données sensibles : un accès VPN permet de parcourir les bases de données internes, les systèmes de gestion et les plateformes cloud.
• Escalade latérale : une fois dans le réseau, l’attaquant peut exploiter d’autres vulnérabilités (ex. CVE-2025-1234) pour obtenir des privilèges d’administrateur système.
• Perturbation des services : la prise de contrôle d’un tunnel VPN peut être utilisée pour lancer des attaques DDoS internes ou pour installer des ransomwares.

Étude de cas française (mai 2026)

Une société de services numériques (SSN) basée à Lyon a constaté, le 21 mai 2026, une série de connexions VPN issues du machine name DESKTOP-GP01. Après analyse, les analystes ont identifié un cookie falsifié provenant de l’adresse IP 146.19.216.122. Le trafic a permis à l’intrus d’accéder à plusieurs bases de clients, dont les informations de facturation. L’incident a entraîné une perte de confiance client estimée à 800 000 €.

Méthodes de détection et indicateurs de compromission

Indicators of Compromise (IoC) fournis par les chercheurs

Recommandations de détection

• Surveiller les logs GlobalProtect : recherchez des tentatives d’authentification utilisant le champ User-Agent contenant le mot-clé GP-CLIENT ou DESKTOP-GP01.
• Déployer des règles de corrélation dans le SIEM : créez une alerte lorsqu’un même MAC address apparaît sur plusieurs adresses IP distinctes dans un intervalle de 24 h.
• Analyser les cookies de session : comparez la valeur GP-Auth aux schémas connus (taille, préfixe) et déclenchez une enquête si une anomalie est détectée.

Remédiation et bonnes pratiques

Mise à jour des versions affectées

Les administrateurs doivent appliquer immédiatement ces correctifs via le portail de gestion Palo Alto ou en utilisant les scripts de mise à jour automatisée.

Désactivation du authentication-override

• Accédez à la console d’administration (admin@panorama).
• Naviguez jusqu’à Device > GlobalProtect > Settings.
• Décochez l’option Enable Authentication Override.
• Enregistrez les changements et redémarrez le service gpsvc.

« Désactiver la fonction est la mesure la plus rapide pour éliminer le vecteur d’attaque », souligne le guide de durcissement de l’ANSSI (2025).

Sécurisation du certificat dédié

1. Générer un certificat dédié uniquement pour le chiffrement des cookies d’authentification ; ne jamais le réutiliser pour le service HTTPS du portail.
2. Isoler le certificat dans un keystore séparé et appliquer des ACL restrictives sur le fichier.
3. Auditer régulièrement la configuration des certificats via des outils de conformité (ex. OpenSCAP).

Processus de chasse aux IoC

1. Exportez les logs GlobalProtect des 30 jours précédents.
2. Exécutez une requête REQL : SELECT * FROM logs WHERE cookie LIKE 'GP-Auth%' AND source_ip IN ('104.207.144.154','146.19.216.119','146.19.216.120','146.19.216.125'); Microsoft 365 Copilot Boost Productivité
3. Corrélez avec les événements de connexion VPN pour identifier les sessions suspectes.
4. Isoler les hôtes compromis et réinitialiser les mots de passe administrateur.

Checklist d’action pour les équipes IT

• [ ] Vérifier la présence de la fonction authentication-override sur tous les appliances PAN-OS et Prisma Access.
• [ ] Appliquer les correctifs listés dans le tableau comparatif.
• [ ] Désactiver temporairement la fonction si elle n’est pas indispensable.
• [ ] Générer et déployer un certificat dédié pour le chiffrement des cookies.
• [ ] Implémenter les règles de détection des IoC dans le SIEM.
• [ ] Réaliser un audit de conformité des certificats avant le 31 juillet 2026.
• [ ] Former les équipes SOC aux indicateurs spécifiques (MAC spoofié, noms de machine).

Conclusion - Agissez maintenant pour protéger votre périmètre VPN

La vulnérabilité d’authentification Palo Alto PAN-OS constitue une menace immédiate et réaliste pour les organisations françaises qui s’appuient sur les solutions GlobalProtect. En combinant mise à jour rapide, désactivation de la fonctionnalité vulnérable et mise en place d’une surveillance proactive, vous limitez considérablement le risque d’intrusion. Le temps presse : chaque jour de retard augmente la probabilité d’une compromission qui peut coûter des dizaines de milliers d’euros en perte de données et en réputation.

Ne laissez pas un défaut de conception mettre en péril votre réseau ; adoptez dès aujourd’hui les mesures décrites ci-dessus et assurez-vous que vos équipes disposent des ressources nécessaires pour répondre aux attaques en cours.