🕵️ Ivanti, la star qu’on aurait préféré éviter
Avec Ivanti on pourrait croire que les « mauvais élèves » de la cybersécurité prennent un peu de vacances entre deux failles critiques. Spoiler : non. Après une année 2024–2025 jalonnée de vulnérabilités spectaculaires dans Ivanti Connect Secure et Ivanti Policy Secure, la société revient sur le devant de la scène avec un nouveau lot de correctifs.
Cette fois, c’est Endpoint Manager (EPM), la solution censée simplifier la vie des admins, qui s’avère simplifier surtout la vie… des attaquants.
💣 Des vulnérabilités critiques (encore…)
Le bulletin du 10 septembre 2025 est clair : deux failles critiques dans EPM permettent une exécution de code arbitraire à distance (RCE) sans authentification, avec comme seule condition une interaction utilisateur. En langage clair : un clic malheureux et c’est jackpot pour l’attaquant.
Ajoutez à cela une série de failles CSRF, hijacking HTML5, et autorisations mal gérées sur d’autres produits Ivanti (Connect Secure, Policy Secure, Neurons, ZTA Gateway…), et on obtient une nouvelle démonstration de ce qu’on appelle pudiquement une « surface d’attaque généreuse ».
📜 Rappel des épisodes précédents
Ivanti n’en est pas à son coup d’essai :
- Début 2024 : des failles 0-day dans Connect Secure sont activement exploitées par plusieurs groupes APT. Certaines entreprises se sont retrouvées compromises avant même la publication du patch.
- Mi-2024 : nouvelle série de vulnérabilités critiques obligeant Ivanti à publier des correctifs en urgence, avec des guides de mitigation bricolés.
- Début 2025 : une énième vulnérabilité RCE dans Ivanti Secure Access menace des milliers de VPN d’entreprise. Les CERT sonnent l’alerte, et Microsoft détecte même des campagnes massives d’exploitation.
Bref, à ce rythme, on attend presque un calendrier de l’Avent « Ivanti vulnérabilités » avec une case à ouvrir chaque mois. 🎁
📜 Lire la saga IVANTI sur secuslice
🎭 Conséquences pour les entreprises
Le problème dépasse la simple mise à jour d’un logiciel. Derrière, il y a :
- 🔓 Perte de confiance : comment justifier auprès d’un comité de direction qu’on continue à utiliser une solution Ivanti, alors que les failles s’enchaînent ?
- 🕑 Charge opérationnelle : patcher en urgence tous les deux mois n’est pas viable pour des équipes IT déjà sous l’eau.
- 💸 Coût de remédiation : chaque vulnérabilité non patchée peut mener à une compromission, et donc à un incident sécurité majeur (ransomware, vol de données…).
🧨 Le cocktail explosif : Ivanti + VPN + Active Directory
Souvent, Ivanti n’est pas isolé. Il est utilisé comme point d’entrée VPN, directement relié à l’Active Directory d’entreprise. Résultat : une faille RCE sur Ivanti, c’est potentiellement une compromission totale du SI en quelques heures. On se retrouve face au scénario classique :
- Exploitation du bug →
- Dump des credentials AD →
- Mouvements latéraux →
- Ransomware ou exfiltration de données.
Une chaîne d’attaque connue, redoutablement efficace, et qui a déjà fait ses preuves dans de multiples incidents.
🛡️ Les « bonnes pratiques » (qu’on répète en boucle)
Face à ce feuilleton sans fin, les recommandations restent les mêmes :
- 🚀 Patcher immédiatement (oui, encore une fois).
- 🔍 Surveiller les logs et activer une détection avancée des anomalies réseau.
- 🪓 Segmenter les accès : limiter la portée d’Ivanti vers l’AD et les systèmes critiques.
- 🔐 MFA obligatoire : histoire que l’attaquant ne se serve pas sur un plateau.
- 📦 Plan B : prévoir une stratégie de remplacement (VPN alternatif, SASE, ZTNA).
Car soyons honnêtes : continuer à dépendre exclusivement d’Ivanti, c’est comme confier son trousseau de clés à un serrurier qui oublie régulièrement de fermer sa boutique.
🤡 Sarcasme, quand tu nous tiens…
Il y a deux façons de voir les choses :
- La version officielle : « Ivanti prend très au sérieux la sécurité de ses clients et publie régulièrement des correctifs. »
- La version réaliste : « Ivanti est devenu l’équivalent logiciel d’une passoire connectée, et ses clients jouent aux pompiers toutes les six semaines. » 🔥👩🚒
📌 Conclusion : Ivanti, le cas d’école
Au final, Ivanti est un parfait exemple de ce que la cybersécurité ne doit pas être : une course permanente derrière les attaquants, où les patches deviennent plus fréquents que les mises à jour fonctionnelles.
Pour les entreprises, le message est simple : surveillez, patcher, et envisagez sérieusement des alternatives. Car oui, Ivanti a encore publié des correctifs critiques. Et non, ce n’est probablement pas la dernière fois.
