Palo Alto PAN-OS : vulnérabilité d’authentification contournée - comment la neutraliser rapidement

Apollinaire Monteclair

Risque actuel : pourquoi le contournement d’authentification de Palo Alto PAN-OS est critique

En 2026, les organisations françaises constatent une hausse inattendue des incidents VPN liés à Palo Alto PAN-OS authentication bypass. Selon le rapport annuel de catalogue France Sécurité 2026, 12 % des incidents de compromission VPN décelés concernent cette faille (source : CISA). Le 29 mai 2026, la Cybersecurity and Infrastructure Security Agency a inscrit le CVE-2026-0257 dans son catalogue KEV, soulignant l’urgence de la menace.

Dans la pratique, le bug permet à un acteur non authentifié de usurper des cookies d’authentification et d’établir des connexions VPN via la passerelle GlobalProtect. Cette capacité de « bypass » rend les réseaux d’entreprise vulnérables à des déplacements latéraux, voire à la compromission complète des systèmes internes.

Analyse technique du bug d’authentification override

Le module authentication override génère un cookie session lorsqu’un utilisateur s’authentifie via le portail GlobalProtect. Ce cookie est chiffré avec le certificat TLS du portail, mais la logique de déchiffrement ne vérifie aucune signature. Ainsi, tout service disposant du même certificat peut décrypter le cookie et en créer un nouveau valide.

En outre, le cookie possède une durée de vie prolongée (48 h par défaut), ce qui donne aux attaquants une fenêtre d’exploitation assez large. Selon Rapid7, plus de 1 200 tentatives d’exploitation ont été détectées entre le 17 et le 21 mai 2026 (source : Rapid7 Threat Report 2026).

Failles du binaire gpsvc

Le binaire /usr/local/bin/gpsvc réalise le processus de déchiffrement sans validation d’intégrité. Un attaquant peut extraire la clé publique du certificat HTTPS partagé, puis forger un cookie valable. Le trafic malveillant repose souvent sur des adresses IP hébergées chez des fournisseurs cloud comme Vultr ou Dromatics Systems, avec des noms de machine factices tels que GP-CLIENT ou DESKTOP-GP01.

« Le manque de vérification de signature dans gpsvc est la racine du contournement d’authentification », explique le chercheur principal de Rapid7 dans son analyse du 22 mai 2026.

Indicateurs de compromission observés en 2026

Les équipes SOC doivent surveiller les artefacts suivants :

  • IP : 104.207.144.154 (Vultr - vague 1)
  • IP : 146.19.216.119/120/125 (Dromatics - vague 2)
  • MAC : aa:bb:cc:dd:ee:ff (adresse MAC usurpée dans les deux vagues)
  • Nom d’hôte : GP-CLIENT (Linux, 17 mai)
  • Nom d’hôte : DESKTOP-GP01 (Windows, 21 mai)

« Les adresses IP sont dé-fanged pour éviter toute résolution accidentelle », note le bulletin d’alerte de l’ANSSI du 30 mai 2026.

Ces indicateurs, une fois injectés dans un SIEM, permettent de détecter rapidement des tentatives de connexion anormales ciblant des comptes administrateur locaux.

Stratégies de mitigation et correctifs recommandés

  1. Désactiver le feature « authentication override » si aucune application métier ne dépend de ce mécanisme. Cette action élimine immédiatement la surface d’attaque.
  2. Si le feature doit rester actif, générer un certificat dédié exclusivement pour le chiffrement des cookies. Le certificat ne doit jamais être partagé avec le service HTTPS du portail.
  3. Appliquer les correctifs fournis par Palo Alto. Les versions sécurisées incluent :
    • PAN-OS 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15, 10.2.18-h6
    • Prisma Access 11.2.7-h13 (ou ultérieure) et 10.2.10-h36 (ou ultérieure)
  4. Déployer des règles de détection dans le pare-feu et le SIEM pour repérer les tentatives d’injection de cookies sur les ports GlobalProtect (TCP 443).
  5. Effectuer une chasse aux IOCs dans les journaux d’authentification VPN et les métadonnées des sessions.

Exemple de commande OpenSSL pour créer un certificat dédié

openssl req -new -newkey rsa:4096 -nodes -keyout gp_override.key \
    -x509 -days 365 -out gp_override.crt -subj "/C=FR/ST=Paris/L=Paris/O=MonEntreprise/CN=gp-override.mondomaine.fr"

Cette clé privée doit être stockée dans un module HSM et référencée uniquement par le service authentication override.

Guide de mise à jour pas à pas pour les administrateurs

École cybersécurité à Lille – guide complet 2026

Version affectéeVersion corrigée recommandée
PAN-OS 12.1.3PAN-OS 12.1.4-h6
PAN-OS 11.2.11PAN-OS 11.2.12
PAN-OS 11.1.14PAN-OS 11.1.15
PAN-OS 10.2.17PAN-OS 10.2.18-h6
Prisma Access 11.2.0Prisma Access 11.2.7-h13
Prisma Access 10.2.0Prisma Access 10.2.10-h36
  1. Sauvegarder la configuration actuelle via l’interface Web ou cli (request backup config).
  2. Télécharger le package de mise à jour depuis le portail de support Palo Alto, en veillant à choisir la version correspondant à votre branche.
  3. Planifier une fenêtre de maintenance afin de minimiser l’impact sur les utilisateurs VPN.
  4. Installer le package (request system software install version=<x.x.x>), puis redémarrer le dispositif.
  5. Vérifier la version installée (show system info) et confirmer l’absence de la vulnérabilité (show running security-policy - recherche de authentication-override).
  6. Tester la connexion VPN avec un compte non privilégié pour s’assurer que le service GlobalProtect fonctionne correctement.

Conclusion - actions à entreprendre immédiatement

Le Palo Alto PAN-OS authentication bypass représente aujourd’hui l’un des vecteurs d’attaque les plus exploités contre les infrastructures VPN françaises. En combinant désactivation du feature, mise à jour des versions, génération d’un certificat dédié et mise en place de règles de détection, les équipes de sécurité peuvent réduire le risque de compromission de façon drastique.

Nous vous recommandons d’initier dès maintenant le processus de mise à jour décrit ci-dessus, d’intégrer les IOCs dans vos tableaux de bord SIEM, et de valider la disparition du trafic suspect lié aux cookies d’authentification. La vigilance continue, associée à l’application rapide des correctifs, reste la meilleure défense contre les menaces actives de 2026.