🚨 Cette faille est activement exploitée dans la nature depuis fin mai 2026. Si vous utilisez Palo Alto PAN-OS avec GlobalProtect, lisez cet article en entier avant de fermer votre navigateur.
Le 13 mai 2026, Palo Alto Networks a publié discrètement un avis de sécurité concernant une vulnérabilité dans PAN-OS et Prisma Access. Le score CVSS de 7.8 qualifié de ‘moyen’, n’a initialement pas affolé grand monde. C’est souvent le genre de vulnérabilité qu’on coche dans un tableau de suivi en se disant ‘à corriger dans le prochain cycle de patch’.
Deux semaines plus tard, le ton avait radicalement changé. L’agence américaine de cybersécurité CISA ajoutait CVE-2026-0257 à son catalogue de vulnérabilités activement exploitées, imposait aux agences fédérales américaines de corriger d’urgence au 1er juin. Rapid7 publiait un rapport détaillant des compromissions réelles observées chez plusieurs de ses clients. Et Unit 42, l’équipe de recherche en menaces de Palo Alto elle-même, confirmait des tentatives d’exploitation actives dans la nature.
La leçon que répète inlassablement le monde de la cybersécurité : un score CVSS moyen sur un équipement critique avec une configuration spécifique peut avoir un impact maximal. 50 000 firewalls Palo Alto sont potentiellement concernés.
Dans cet article, on explique ce qu’est CVE-2026-0257, comment vérifier en trois questions si votre infrastructure est vulnérable, et les étapes précises pour corriger que vous soyez administrateur réseau expérimenté ou responsable informatique qui doit comprendre ce qui se passe.
Palo Alto Networks et GlobalProtect
Palo Alto Networks est l’un des principaux fabricants de pare-feux (firewalls) de nouvelle génération au monde. Leurs appareils, physiques ou virtuels, protègent les réseaux d’entreprise en contrôlant le trafic qui entre et sort, en bloquant les menaces connues, et en appliquant les politiques de sécurité de l’organisation.
PAN-OS est le système d’exploitation qui fait tourner ces pare-feux. C’est l’équivalent de Windows ou Linux, mais pour un équipement réseau de sécurité. La quasi-totalité des fonctionnalités du pare-feu Palo Alto : le filtrage d’URL, la prévention des intrusions, l’antivirus réseau, tournent sur PAN-OS.
GlobalProtect est la fonctionnalité VPN intégrée dans PAN-OS. Quand vos employés se connectent à distance depuis chez eux, depuis un café, depuis un site client, GlobalProtect leur crée un tunnel chiffré vers votre réseau d’entreprise. En 2026, avec le télétravail généralisé, GlobalProtect est déployé dans des dizaines de milliers d’entreprises dans le monde.
💡 Analogie : PAN-OS est le système nerveux central de votre sécurité réseau. GlobalProtect est la porte d’entrée sécurisée que vos employés distants utilisent pour rentrer dans votre bâtiment numérique. CVE-2026-0257 est une faille dans le mécanisme de serrure de cette porte qui permettrait à quelqu’un d’entrer sans avoir la bonne clé.
Prisma Access est la version cloud de cette technologie, même fonctionnalité GlobalProtect, mais délivrée comme un service depuis l’infrastructure cloud de Palo Alto plutôt que depuis vos propres appareils physiques. Elle est aussi affectée par le CVE-2026-0257.
CVE-2026-0257 : Ce qui ne va pas techniquement
Pour comprendre cette faille, il faut d’abord comprendre comment fonctionne l’authentification dans GlobalProtect c’est-à-dire comment le système vérifie que vous êtes bien qui vous prétendez être.
Le mécanisme d’authentification via cookie
Quand vous vous connectez à un VPN GlobalProtect, vous entrez votre identifiant et votre mot de passe. Le système vous authentifie. Ensuite, pour éviter que vous ayez à retaper vos identifiants à chaque reconnexion ou changement de réseau, GlobalProtect peut vous délivrer un ‘cookie d’authentification’, un petit fichier chiffré qui prouve que vous vous êtes correctement authentifié.
Ce cookie est chiffré avec un certificat cryptographique. La prochaine fois que votre client VPN se connecte, il présente ce cookie. Le pare-feu le déchiffre, vérifie qu’il est valide, et vous laisse entrer sans redemander votre mot de passe.
Le problème : un certificat partagé qui crée une faille
CVE-2026-0257 apparaît dans une configuration spécifique : quand le certificat utilisé pour chiffrer ces cookies d’authentification GlobalProtect est le même certificat que celui utilisé pour le portail HTTPS public du pare-feu.
Dans ce cas précis, les chercheurs ont découvert que le pare-feu ne valide pas rigoureusement l’intégrité des cookies qu’il reçoit. Un attaquant qui connaît la vulnérabilité peut forger un faux cookie d’authentification, un cookie qui semble valide mais n’a jamais été émis par une vraie session d’authentification. Résultat : l’attaquant peut s’introduire dans votre VPN sans connaître aucun identifiant ou mot de passe.
🔓 En termes simples : c’est comme si un passe-partout existait pour votre serrure, mais uniquement si vous avez fait une erreur de configuration spécifique en installant la porte. Pas toutes les portes, seulement celles dans cette configuration particulière.
La question clé : votre pare-feu est-il vulnérable ?
Bonne nouvelle importante à souligner d’emblée : tous les pare-feux Palo Alto ne sont pas affectés. La vulnérabilité nécessite que trois conditions soient simultanément réunies. Si l’une de ces trois conditions n’est pas remplie, vous n’êtes pas vulnérable.
✅ Condition 1 : GlobalProtect est configuré (portail ou gateway) Si vous n’utilisez pas GlobalProtect VPN, vous n’êtes pas vulnérable. Vérifiez dans Network > GlobalProtect.
✅ Condition 2 : Les authentifications via cookie sont activés : C’est la condition centrale. Vérifiez dans Network > GlobalProtect > Portals/Gateways > Authentication > Generate cookie for authentication override.
✅ Condition 3 : Le certificat de cookies est partagé avec un autre service : Si le certificat GlobalProtect est le même que celui du portail HTTPS ou d’un autre service, la faille est présente.
✅ Si vous pouvez répondre NON à l’une de ces trois questions, votre installation n’est pas directement vulnérable à CVE-2026-0257. Cela dit, la correction reste recommandée car les conditions peuvent évoluer suite à une mise à jour de configuration.
🚨 Si vous répondez OUI aux trois conditions : agissez maintenant. Votre firewall est activement ciblé.
Comment vérifier en pratique dans l’interface PAN-OS
- Connectez-vous à l’interface d’administration de votre pare-feu Palo Alto.
- Allez dans Network > GlobalProtect > Portals.
- Cliquez sur votre portail et accédez à l’onglet Authentication.
- Cherchez ‘Generate cookie for authentication override’ si activé, vous avez la condition 2.
- Si activé, vérifiez quel certificat est sélectionné pour ‘Cookie Encryption/Decryption Certificate’.
- Comparez ce certificat avec celui de vos autres services (portail HTTPS, etc.).
- Si c’est le même certificat : vous avez les 3 conditions réunies, vulnérabilité confirmée.
Ce qu’un attaquant peut faire si vous êtes exposé
L’impact direct de CVE-2026-0257 est limité mais d’une importance stratégique considérable : l’attaquant peut établir une connexion VPN non autorisée sur votre réseau d’entreprise. Sans connaître aucun identifiant. Sans passer par votre processus d’authentification multifacteur.
Ce n’est pas l’accès root immédiat au serveur de base de données, c’est ‘juste’ une connexion VPN. Mais c’est souvent tout ce dont un attaquant a besoin. Une fois sur votre VPN, il est à l’intérieur de votre périmètre de sécurité réseau. Il peut voir les ressources internes qui ne sont pas exposées à internet. Il peut tenter d’accéder aux applications internes, aux partages de fichiers, aux systèmes de gestion.
C’est la différence entre quelqu’un qui frappe à votre porte d’entrée et quelqu’un qui est déjà dans votre couloir. La porte d’entrée (votre pare-feu), on l’a franchie. Maintenant il faut trouver ce qui l’intéresse à l’intérieur.
Unit 42 note que dans les cas observés, ‘aucun comportement post-accès ou mouvement latéral n’a été identifié à ce stade’. Mais ça ne signifie pas que ça ne viendra pas, soit les attaquants préparent une opération plus longue, soit ils utilisent déjà l’accès VPN de façon discrète.
⚠️ Raison pour laquelle les VPN sont des cibles de choix : votre VPN d’entreprise est configuré pour donner accès au réseau interne. C’est littéralement son rôle. Un attaquant qui obtient un accès VPN légitime contourne votre pare-feu, vos règles de segmentation, et toutes vos défenses périmètriques, il est à l’intérieur comme n’importe quel employé autorisé.
La chronologie de l’exploit : Comment l’attaque se déroule
| Étape | Ce que fait l’attaquant | Durée estimée |
| 1. Reconnaissance | Scanne internet pour trouver des portails GlobalProtect exposés publiquement (port 443) | Minutes |
| 2. Identification | Vérifie si le portail utilise la configuration vulnérable (cookies + certificat partagé) | Secondes-minutes |
| 3. Forge du cookie | Crée un faux cookie d’authentification exploitant la mauvaise validation | Secondes (scripté) |
| 4. Connexion VPN | Présente le faux cookie au portail ou gateway GlobalProtect | Secondes |
| 5. Accès réseau | Le firewall accepte le faux cookie et établit la connexion VPN | Immédiat |
| 6. Phase post-accès | Reconnaissance interne, identification des cibles, mouvement latéral potentiel | Variable |
Ce que cette chronologie révèle : les étapes 1 à 5 peuvent se dérouler en quelques dizaines de secondes avec un outil automatisé.
Ce que Rapid7 et Unit 42 ont observé dans la nature
Les rapports publiés par Rapid7 MDR et Unit 42 (Palo Alto) permettent de comprendre comment les attaques réelles se sont déroulées et ce qu’on peut en apprendre pour la détection.
Les deux vagues d’attaque observées par Rapid7
Rapid7 MDR (Managed Detection and Response) a observé deux vagues d’exploitation distinctes dans les environnements de ses clients.
- Première vague (autour du 13-14 mai 2026) : exploitation initiale de plusieurs clients Rapid7. Dans tous les cas, Cloud Authentication Service (CAS) était désactivé et l’authentification via cookie était activée.
- Deuxième vague (21 mai 2026) : nouvelle série de compromissions depuis un hébergeur différent. La même adresse MAC dans les deux vagues suggère fortement qu’il s’agit du même acteur.
Ce que les analystes ont trouvé sur les systèmes compromis
L’analyse des fichiers de support technique des pare-feux Palo Alto affectés a permis à Rapid7 d’identifier le profil type des appareils vulnérables :
- Cloud Authentication Service (CAS) : désactivé, c’est une couche d’authentification supplémentaire qui, si elle avait été activée, aurait pu mitiger l’impact.
- Authentification via cookie : activé sur les portails et gateways GlobalProtect.
- Résultat observé : attribution VPN IP suite à l’authentification via cookie, confirmant la connexion réussie.
Ce que Unit 42 précise
Unit 42, l’équipe de renseignement sur les menaces de Palo Alto Networks, a publié son propre rapport. Nuance importante : ils indiquent que ‘seule une petite proportion des appareils sondés ont effectivement établi des sessions VPN’. Ce qui signifie que beaucoup d’attaquants testent la vulnérabilité de façon opportuniste, mais que tous n’ont pas abouti à une compromission complète.
🔍 Interprétation : les attaquants automatisent la recherche de cibles vulnérables à grande échelle. Certains s’arrêtent à la confirmation de la vulnérabilité, d’autres vont jusqu’à l’exploitation. La fenêtre entre ‘confirmation’ et ‘exploitation’ peut être très courte.
Indicateurs de compromission : Avez-vous déjà été touché ?
Si vous avez les trois conditions vulnérables et que votre firewall n’était pas patché avant fin mai, il faut vérifier si vous avez déjà été compromis. Voici les indicateurs à rechercher.
Dans les logs de votre pare-feu Palo Alto
- Authentification VPN réussie via cookie sur des comptes non reconnus ou génériques.
- Connexion VPN depuis le nom d’hôte par défaut de GlobalProtect (plutôt qu’un hostname personnalisé).
- Sessions VPN depuis des plages IP inhabituelles, particulièrement des hébergeurs cloud à bas coût (un vecteur d’origine fréquent pour ce type d’attaque).
- Présence des IOCs (Indicators of Compromise) publiés par Rapid7 le 2 juin 2026.
Comment accéder aux logs GlobalProtect
- Dans l’interface PAN-OS : Monitor > Logs > System.
- Filtrez sur ‘GlobalProtect’ dans le champ Type.
- Cherchez des événements ‘gateway-connected’ qui ne correspondent pas à des utilisateurs légitimes.
- Vérifiez les adresses IP source, une IP d’hébergeur à bas coût sur une connexion VPN d’entreprise est suspect.
- Pour Prisma Access : accédez à Strata Cloud Manager > Monitoring > User Activity.
💡 Si vous avez un SIEM (Security Information and Event Management) ou un outil EDR/XDR, les détections CVE-2026-0257 sont disponibles depuis le 15 mai 2026 pour les outils Rapid7, et le 9 juin pour les solutions XDR et XSIAM de Palo Alto.
Les versions PAN-OS affectées : La liste officielle
| Branche PAN-OS | Versions affectées | Version corrigée | Action |
| PAN-OS 12.1 | 12.1.0 à 12.1.2 | 12.1.3 et ultérieures | Mettre à jour vers 12.1.3+ |
| PAN-OS 11.2 | 11.2.0 à 11.2.5 | 11.2.6 et ultérieures | Mettre à jour vers 11.2.6+ |
| PAN-OS 11.1 | 11.1.0 à 11.1.8 | 11.1.9 et ultérieures | Mettre à jour vers 11.1.9+ |
| PAN-OS 10.2 | 10.2.0 à 10.2.16 | 10.2.17 et ultérieures | Mettre à jour vers 10.2.17+ |
| Prisma Access 10.2 | Toutes versions 10.2 | Mise à jour automatique | Vérifier avec Palo Alto |
| Prisma Access 11.2 | Toutes versions 11.2 | Mise à jour automatique | Vérifier avec Palo Alto |
| Panorama | Non affecté | — | Aucune action requise |
| Cloud NGFW | Non affecté | — | Aucune action requise |
⚠️ Pour les déploiements hybrides Prisma Access (combinant cloud et on-premise) : vous DEVEZ mettre à jour TOUS vos pare-feux on-premise vers les versions corrigées. Si vous faites une mise à jour partielle dans un environnement mixte, des problèmes de compatibilité des cookies peuvent survenir entre les composants.
Comment corriger : Guide pas à pas
La correction prioritaire est la mise à jour vers une version PAN-OS corrigée. Voici la procédure standard.
Étape 1 : Vérifiez votre version actuelle
- Connectez-vous à l’interface d’administration PAN-OS.
- Allez dans Device > Software.
- Notez votre version actuelle et comparez avec le tableau ci-dessus.
- Si votre version est dans la colonne ‘Versions affectées’, une mise à jour est nécessaire.
Étape 2 : Téléchargez la mise à jour
- Dans Device > Software, cliquez sur ‘Check Now’ pour vérifier les mises à jour disponibles.
- Téléchargez la version corrigée correspondant à votre branche (10.2.17, 11.1.9, 11.2.6 ou 12.1.3).
- Attendez que le téléchargement soit complet avant de procéder à l’installation.
Étape 3 : Planifiez la maintenance et installez
- PAN-OS permet de planifier une mise à jour à une heure précise, idéal pour minuit ou tôt le matin.
- Sauvegardez votre configuration avant la mise à jour (Device > Setup > Operations > Export configuration).
- Lancez l’installation, le firewall redémarrera (5-15 minutes de coupure selon le modèle).
- Vérifiez après redémarrage que GlobalProtect fonctionne correctement.
Étape 4 : Vérification post-patch
- Reconnectez-vous à l’interface admin et vérifiez la version en Device > Software.
- Testez une connexion GlobalProtect avec un compte utilisateur réel.
- Vérifiez les logs GlobalProtect pour confirmer que l’authentification fonctionne normalement.
Atténuation temporaire si le patch immédiat est impossible
Si vous ne pouvez pas appliquer le patch immédiatement (fenêtre de maintenance planifiée uniquement dans deux semaines, processus de validation interne obligatoire…), Palo Alto propose des mitigations temporaires.
Mitigation 1 : Désactiver les Authentifications via cookie (la plus efficace)
C’est la mitigation la plus directe car elle supprime la condition 2 de la vulnérabilité. Si les authentifications via cookie sont désactivés, la faille ne peut pas être exploitée. La contrepartie : les utilisateurs devront se ré-authentifier plus fréquemment (selon votre configuration du temps d’expiration de session).
- Network > GlobalProtect > Portals > [votre portail] > Authentication.
- Désactivez ‘Generate cookie for authentication override’.
- Répétez pour chaque pare-feu configuré.
- Testez qu’une connexion VPN classique fonctionne toujours.
Mitigation 2 : Utiliser un certificat dédié unique pour GlobalProtect
Si vous devez absolument maintenir les authentifications via cookie, assurez-vous que le certificat utilisé pour les chiffrer est EXCLUSIF à GlobalProtect, non partagé avec le portail HTTPS ou tout autre service. Cela supprime la condition 3 de la vulnérabilité.
Mitigation 3 : Activer le Cloud Authentication Service (CAS)
Dans les cas observés par Rapid7, CAS était désactivé sur les systèmes compromis. L’activation de CAS ajoute une couche supplémentaire de validation qui aurait pu limiter l’impact. Ce n’est pas un correctif complet, mais c’est une couche de défense en profondeur.
⚠️ Les mitigations temporaires ne remplacent pas le patch. Elles réduisent le risque immédiat mais ne corrigent pas la vulnérabilité sous-jacente. Planifiez la mise à jour PAN-OS dès que possible.
Source : Unit 42