Ces dernières semaines, plusieurs organismes publics européens ont confirmé qu'ils avaient subi des intrusions informatiques liées à des défaillances de sécurité dans un outil de gestion d'appareils mobiles. Il s'agit notamment de l'Autorité néerlandaise pour la protection des données (Autoriteit Persoonsgegevens, AP) et de l'Autorité néerlandaise pour la protection des données. Conseiller pour l ' administration néerlandaise de la justice, qui a informé le Parlement que leurs systèmes étaient compromis après avoir profité des vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM).
Ivanti EPMM est une plateforme conçue pour gérer les terminaux mobiles, les applications et le contenu de l'entreprise, et est généralement utilisée pour assurer les politiques, déployer les applications et gérer les inventaires d'appareils. Lorsqu'un outil avec ce niveau de contrôle est exposé, non seulement l'équipement individuel, mais aussi l'information opérationnelle associée à l'administration du service. C'est précisément ce risque que les incidents récents ont démontré : dans plusieurs cas, les agresseurs ont obtenu des données sur le fonctionnement du service et sur les employés eux-mêmes, y compris les noms, les postes professionnels et les numéros de téléphone.
La Commission européenne a également fait état de constatations similaires dans son infrastructure centrale de gestion de la téléphonie mobile, où des «traces» d'une tentative d'accès ont été détectées qui auraient pu permettre de recueillir des noms et des numéros de téléphone mobile auprès de son personnel. Selon l'établissement, l'épisode a été contenu en moins de neuf heures et il n'y a pas d'appareils mobiles compromis, bien que la recherche se poursuive. La note officielle de la Commission est disponible au communiqué.
Pour sa part, la Finlande a rendu public un déficit de données dans lequel le fournisseur national de technologies de l'information, Valtori il a expliqué que jusqu'à 50 000 fonctionnaires auraient pu voir ses informations sur le travail exposées. Valtori a attribué l'incident à l'exploitation d'une vulnérabilité de zéro jour dans le service de gestion de l'appareil et a prétendu avoir appliqué le patch le jour même où Ivanti a publié les corrections.
Ivanti a publié des solutions pour deux défaillances identifiées telles que CVE-2026-1281 et CVE-2026-1340, toutes deux avec des scores CVSS très élevés (9.8), qui permettent l'exécution de code à distance sans authentification. La société a également reconnu que ces vulnérabilités étaient déjà exploitées dans la nature comme des jours zéro. Pour ceux qui souhaitent opposer des informations techniques, les registres de vulnérabilité du public fournissent les fiches de données correspondantes dans la base de données sur la vulnérabilité nationale: CVE-2026-1281 et CVE-2026-1340, et Ivanti elle-même garde une section avec des avis de sécurité sur son site officiel ( Ivanti Avis de sécurité).
Un détail inquiétant que les enquêtes ont révélé est que le système de gestion n'a apparemment pas définitivement supprimé certaines informations lorsqu'il a été supprimé: il a marqué les données comme supprimées mais les a effectivement conservées. Cela amplifie la portée de l'incident, car les données des organisations qui ont utilisé le service au fil du temps auraient pu être rendues accessibles. De plus, dans les environnements d'entreprise, le même dispositif peut avoir été utilisé par plusieurs personnes, ce qui complique encore la comptabilité de l'exposition.
Ces situations ne sont pas seulement un problème technique : leurs conséquences comprennent des risques de supplantation, d'hameçonnage ciblé et de menaces à la vie privée des juges, des fonctionnaires et des fonctionnaires. Lorsque les noms, les postes de travail et les numéros de téléphone sont filtrés, les attaquants ont un matériel très précieux pour créer des campagnes d'ingénierie sociale convaincantes. En outre, l'impact des systèmes de gestion implique la possibilité d'un accès ultérieur plus profond s'il n'est pas agi rapidement et de manière transparente.
Le programme de réponse habituel consiste à appliquer immédiatement des correctifs, à vérifier l'accès, à forcer le rétablissement des pouvoirs au besoin et à examiner les contrôles d'authentification multifacteurs. Il est également essentiel d'examiner si d'autres types de données ont été exfiltrés, d'évaluer la persistance de l'agresseur et de notifier les autorités compétentes et les intéressés, conformément aux obligations légales de chaque pays. Dans le cas des Pays-Bas, des informations sur la communication avec le Parlement et les mesures initiales figurent dans le document officiel mentionné ci-dessus.
D'un point de vue plus général, ces incidents ont une fois de plus mis sur la table l'importance de gérer les risques dans la chaîne d'approvisionnement numérique. De nombreuses organisations délèguent des fonctions critiques à des fournisseurs externes et à des outils de gestion qui, s'ils contiennent des vulnérabilités exploitables, transforment un seul point faible en vecteur à impact transversal. La surveillance des patchs, la segmentation du réseau, la surveillance continue et des accords de sécurité clairs avec les fournisseurs sont des pratiques qui devraient être renforcées après de tels événements.
Pour ceux qui veulent approfondir: le Centre national de cybersécurité des Pays-Bas (NCSC) est généralement le premier acteur à coordonner les réponses à ces alertes au niveau national, et publie des guides et des avertissements utiles pour les administrations et les entreprises. Son site Web en anglais contient des conseils pratiques sur la gestion des incidents. Parallèlement, les notes officielles des organes concernés - comme celles de la Commission européenne, du gouvernement néerlandais et de Valtori - assurent la transparence sur la portée, le calendrier et les mesures prises.
Bref, nous sommes confrontés à un rappel fort que les outils qui gèrent les appareils et les données dans les environnements ministériels et gouvernementaux devraient recevoir la même attention en matière de sécurité que les systèmes qui stockent des renseignements essentiels. La rapidité et la clarté de la communication avec les employés et les citoyens sont aujourd'hui la première ligne de défense contre les fuites qui, bien que dans de nombreux cas ne compromettent pas les dispositifs finaux, peuvent saper la confiance du public et faciliter les attaques subséquentes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...