Une faille critique baptisée CVE-2026-50751 permet de se connecter à un réseau d’entreprise protégé par Check Point sans le moindre mot de passe. Exploitée depuis le 7 mai par un proche du rançongiciel Qilin, elle a contraint l’agence américaine de cybersécurité à imposer un correctif en urgence. En France, l’ANSSI appelle à surveiller de près les VPN exposés sur Internet.
L’essentiel
- CVE-2026-50751 : une faille notée 9,3 sur 10 ouvre les VPN Check Point sans mot de passe
- Le rançongiciel Qilin l’exploite depuis le 7 mai 2026, selon Check Point
- La CISA américaine a imposé un correctif aux agences fédérales avant le 11 juin
- En France, l’ANSSI et le CERT-FR appellent à la vigilance sur les VPN d’entreprise
L’éditeur de cybersécurité Check Point a confirmé qu’une faille critique touche ses passerelles d’accès à distance et ses VPN, selon TechCrunch. En clair, un attaquant peut ouvrir une connexion vers le réseau interne d’une organisation sans présenter d’identifiant valide.
Le défaut se niche dans IKEv1, un protocole d’échange de clés ancien et officiellement obsolète. Une erreur de logique dans la vérification des certificats laisse l’intrus franchir la porte comme si le verrou n’existait pas.
Pour mémoire, un VPN d’entreprise chiffre les échanges et sert de porte d’entrée vers le réseau interne. Quand ce sas cède, tout ce qui se trouve derrière devient accessible.
Les premières intrusions remontent au 7 mai, d’après l’enquête lancée par Check Point le 4 juin. L’éditeur attribue ces attaques, avec un niveau de confiance modéré, à un proche du gang de rançongiciels Qilin.
Qilin fonctionne en « rançongiciel comme service » : des affiliés louent l’outil et mènent eux-mêmes les intrusions, avant de partager le butin. À ce stade, l’exploitation resterait limitée à quelques dizaines d’organisations dans le monde.
Comment fonctionne la faille des VPN Check Point
Un VPN d’entreprise joue le rôle de sas vers le réseau interne. En temps normal, il vérifie l’identité de chaque utilisateur avant de l’autoriser à entrer.
Avec cette faille, ce contrôle saute. Un attaquant non authentifié peut établir une session VPN à distance, sans mot de passe, sur les configurations Remote Access et Mobile Access qui s’appuient encore sur IKEv1.
Fait aggravant, la brèche a été exploitée près d’un mois avant qu’un correctif n’existe. C’est une attaque dite « zero-day », la plus redoutée des défenseurs.
Check Point a aussi repéré une seconde vulnérabilité, CVE-2026-50752, qui vise les liaisons entre deux sites. Elle autorise une attaque de l’homme du milieu, c’est-à-dire l’interception du trafic échangé.
L’éditeur a publié un correctif couvrant les versions concernées, de R80.40 à R82.10. Désactiver IKEv1 lorsqu’il n’est pas indispensable réduit encore la surface d’attaque.
Faille Check Point : que faire pour se protéger
Aux États-Unis, la CISA a inscrit la faille à son catalogue des vulnérabilités activement exploitées. Elle a laissé trois jours aux agences fédérales pour réagir, échéance fixée au 11 juin.
En France, les entreprises et administrations équipées de passerelles Check Point sont tout autant concernées. Le scénario rejoint la longue série de cyberattaques visant la France ces derniers mois.
La priorité est claire : appliquer sans délai le correctif, puis éplucher les journaux de connexion depuis début mai. Toute session VPN ouverte sans authentification valide doit être traitée comme suspecte.
Au-delà du patch, renforcer l’accès avec des mots de passe robustes et une double authentification limite les dégâts en cas de nouvelle brèche.
L’enjeu est de taille. Une intrusion réussie peut déboucher sur le chiffrement des données et une demande de rançon. En cas de fuite de données personnelles, le RGPD impose en outre de notifier la CNIL sous 72 heures.
À retenir
- Appliquer aussitôt le correctif Check Point sur tous les VPN concernés
- Désactiver IKEv1 et auditer les connexions depuis le 7 mai
- Traiter toute connexion VPN sans mot de passe comme une alerte
