Un groupe de ransomware a passé un mois à se connecter aux VPN d’entreprise sans mot de passe, et le vendeur n’en a pris connaissance que le 4 juin. La faille, CVE-2026-50751, affecte les déploiements Check Point Remote Access VPN qui exécutent le protocole IKEv1 déprécié. La CISA a donné aux agences fédérales américaines jusqu’au 11 juin pour patcher.
Les victimes ici sont des entreprises, pas des particuliers. Mais la cause profonde, un protocole ancien laissé activé, est quelque chose qui doit préoccuper tout utilisateur de VPN.
Ce que fait la vulnérabilité
CVE-2026-50751 est un contournement d’authentification avec un score CVSS de 9,3. En termes simples : une faille logique dans la validation des certificats permet à un attaquant distant d’établir une session VPN sans aucun mot de passe valide. Pas de phishing, pas de credentials volés, pas de force brute. Juste une requête de connexion fabriquée contre une passerelle avec IKEv1 activé.
IKEv1 est le protocole d’échange de clés de la fin des années 1990. Check Point l’a déprécié il y a des années, et leur avis est clair sur la solution : installer le correctif, et arrêter d’utiliser IKEv1. Le remplacement moderne, IKEv2, n’est pas affecté.
La chronologie d’exploitation est la partie inconfortable. Selon Help Net Security, les premières attaques observées remontent au 7 mai. Check Point a identifié l’activité malveillante le 4 juin. Cela représente environ un mois d’accès silencieux à quelques dizaines d’organisations ciblées avant que quiconque ne sache que la porte était ouverte.
Qui est derrière ça
La propre recherche de Check Point relie l’activité, avec un niveau de confiance moyen, à un affilié de l’opération de ransomware Qilin. BleepingComputer a rapporté la boîte à outils post-exploitation : infrastructure VPS dédiée d’hébergeurs comme Vultr et Shock Hosting, l’outil open source Rclone pour l’exfiltration de données, et le ransomware Qilin comme charge finale.
Qilin est l’une des opérations de ransomware les plus actives des deux dernières années, et ses affiliés ont une préférence documentée pour les passerelles VPN et autres dispositifs de périmètre comme points d’entrée. C’est logique. Pourquoi s’embêter à phisher des employés quand la propre boîte d’accès distant de l’entreprise vous laisse entrer sans mot de passe ?
La CISA a ajouté la faille à son catalogue des vulnérabilités exploitées connues avec un délai de patch de trois jours pour les agences fédérales, ce qui est à peu près aussi fort que peut sonner cette alarme particulière.
VPN d’entreprise, VPN grand public : le même mot, des produits différents
Chaque fois qu’une histoire comme celle-ci éclate, quelqu’un déclare que les VPN sont cassés et qu’il faut arrêter de les utiliser. C’est confondre deux choses différentes, et la distinction compte. Nous avons fait le même point quand Europol a démantelé un service VPN criminel : le mot VPN couvre des produits qui partagent presque rien sauf l’acronyme.
Un VPN d’accès distant d’entreprise est une porte vers un réseau d’entreprise. Il est exposé sur internet, accepte des connexions entrantes, et son rôle est l’authentification : tenir les mauvaises personnes dehors. Quand il échoue, les attaquants se retrouvent dans un réseau plein de systèmes précieux.
Un VPN grand public est dans la direction opposée. Vous établissez une connexion sortante vers le serveur d’un fournisseur pour chiffrer votre trafic sur le chemin vers internet. Il n’y a aucun réseau d’entreprise derrière, et rien pour que le ransomware chiffre. CVE-2026-50751 ne dit rien sur la sécurité de NordVPN, Proton VPN, ou tout service grand public.
La vraie leçon : les protocoles dépréciés sont des bombes à retardement
Voici où l’histoire vous concerne aussi. La faille Check Point ne touche que les déploiements qui ont encore IKEv1 activé, un protocole déprécié depuis longtemps et gardé pour la compatibilité. Vieux protocole, laissé activé par défaut ou par inertie, qui devient une faille critique des années plus tard. Ce schéma se répète sans cesse.
Les VPN grand public ont leur propre version de ce problème. PPTP, un protocole de 1995, est réellement cassé : son authentification peut être craquée en moins d’une journée, et c’est de notoriété publique depuis 2012. L2TP/IPSec est daté. Pourtant, certains fournisseurs offrent encore les deux, parce que supprimer des fonctionnalités a l’air mauvais sur un tableau comparatif.
Notre conseil n’a pas changé : utilisez WireGuard ou OpenVPN, et traitez un fournisseur qui pousse encore PPTP comme un signal d’alarme. Notre comparaison WireGuard vs OpenVPN explique lequel choisir et pourquoi. La colonne protocole dans notre tableau comparatif existe précisément pour cette raison.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Les dispositifs de périmètre continuent de se faire pirater, et il y a une raison
Prenez du recul et cet incident cesse de sembler inhabituel. Les passerelles VPN d’entreprise et autres dispositifs de périmètre sont le point d’entrée préféré des ransomwares depuis plusieurs années. Ivanti Connect Secure a eu sa vague de zero-days en 2024. Les équipements Fortinet ont produit un flux régulier de CVE exploités. Pulse Secure avant ça. Citrix avant ça.
Ce schéma a des causes structurelles. Ces boîtes font face à internet par définition, donc les attaquants peuvent les scanner à volonté. Elles sont en dehors des protections qui couvrent les endpoints normaux : pas d’agent EDR, journalisation limitée, et des mises à jour qui nécessitent des fenêtres de maintenance que personne ne veut planifier. Et elles détiennent les clés de tout ce qui se trouve derrière elles, donc une seule faille rembourse des mois d’effort de scan.
Les agences de sécurité le disent haut et fort. Le catalogue des vulnérabilités exploitées connues de la CISA ressemble à un annuaire des fournisseurs VPN et pare-feu, et le délai de patch de trois jours pour ce CVE reflète à quel point ces urgences sont devenues routinières.
Pour les entreprises concernées, la solution est un processus : patcher les dispositifs de périmètre comme une urgence à chaque fois, retirer les protocoles dépréciés sur un calendrier plutôt qu’attendre le CVE, et surveiller les journaux d’authentification pour des sessions qui ne devraient pas exister. Rien d’ici n’est un conseil exotique. Ça ne se fait juste pas, c’est pourquoi les affiliés de Qilin continuent de bien manger.
Que faire, selon qui vous êtes
Si vous gérez ou administrez un déploiement Check Point Remote Access : installez le correctif maintenant, désactivez IKEv1 partout, et examinez les journaux VPN depuis début mai pour les sessions que vous ne pouvez pas expliquer. L’avis de Check Point et l’analyse Rapid7 listent les indicateurs de compromission.
Si vous êtes un travailleur distant qui utilise un VPN d’entreprise : rien à patcher pour vous, mais ne soyez pas surpris si l’IT force une reconnexion ou pousse un nouveau logiciel client cette semaine. C’est le système qui fonctionne.
Si vous êtes un utilisateur de VPN grand public : vérifiez quel protocole utilise votre application. Si c’est WireGuard, NordLynx ou OpenVPN, vous allez bien. Si vous avez un jour configuré manuellement L2TP ou PPTP parce qu’un tutoriel de 2014 vous l’a dit, défaites ça aujourd’hui. Un fournisseur comme NordVPN utilise NordLynx par défaut, son implémentation WireGuard, et ne propose pas PPTP du tout. C’est à quoi ressemblent les bons paramètres par défaut.
L’épilogue probable de l’histoire vaut la peine d’être écrit à l’avance : CVE-2026-50751 rejoindra la longue traîne du catalogue KEV, les installations patchées l’oublieront, et une passerelle non patchée fera rançonner une entreprise dans quelques mois, parce que c’est le cycle de vie que suit chaque entrée de ce genre. La discipline de délai que modélise la CISA (trois jours, sans exception) est le seul remède connu, et elle s’applique aux firmwares de routeurs domestiques exactement comme aux domaines fédéraux.
C'était un incident sérieux géré raisonnablement bien une fois détecté : correctif rapide, divulgation honnête, attribution claire. Le mois d'exploitation non détectée est la partie qui devrait inquiéter, et ça se reproduira partout où des protocoles dépréciés restent activés. Le message à retenir pour tout le monde, des administrateurs Fortune 500 à quelqu'un qui choisit son premier VPN : la sécurité d'un VPN repose sur ses protocoles, et les anciens ne vieillissent pas en inoffensifs. Ils vieillissent en CVE.
Sources : Avis Check Point | BleepingComputer sur le lien avec Qilin | Analyse Help Net Security | Analyse technique Rapid7