Encore une faille MOVEit. Même schéma. Nouveaux enjeux.

Le 30 avril 2026, Progress Software a révélé deux vulnérabilités dans MOVEit Automation, le moteur de workflow et de planification utilisé par des milliers d’organisations pour automatiser le transfert de fichiers en entreprise. Les entrées de la National Vulnerability Database ont été publiées le même jour. L’avis du fournisseur a été diffusé dans la Progress Customer Community. Les équipes en charge de la cybersécurité qui utilisent MOVEit Automation doivent actuellement appliquer des correctifs en urgence.

Résumé des points clés

1. Deux failles critiques, une même famille de produits. Progress Software a révélé les CVE-2026-4670 (CVSS 9.8) et CVE-2026-5174 (CVSS 8.8 NIST/7.7 CNA) dans MOVEit Automation le 30 avril 2026. Combinées, elles permettent à un attaquant de passer d’aucun accès à un contrôle administratif.
2. Aucune solution de contournement. La correction impose une mise à niveau vers MOVEit Automation 2025.1.5, 2025.0.9 ou 2024.1.8 à l’aide de l’installeur complet. Le système doit être arrêté pendant la mise à jour.
3. Aucune exploitation confirmée — pour l’instant. Progress indique qu’aucune exploitation active n’a été constatée lors de la divulgation. La campagne MOVEit Transfer de 2023 avait commencé quatre jours avant la divulgation publique. Les délais de correctifs ne se sont pas allongés.
4. Ce n’est pas une exception, mais la règle. Cleo, CrushFTP, Wing FTP et désormais MOVEit Automation. Les logiciels de transfert sécurisé de fichiers sont devenus des cibles structurelles car ils se situent à la périphérie et hébergent les données les plus sensibles.
5. La vraie question est architecturale. Chaque vulnérabilité supplémentaire dans le MFT déclenche une nouvelle alerte. La consolidation sur une plateforme d’échange de données durcie et à locataire unique change la donne.

La vulnérabilité principale de MOVEit est CVE-2026-4670, un contournement d’authentification dans MOVEit Automation, noté CVSS 9.8 par le NIST — le niveau de gravité maximal pour une vulnérabilité à distance. La seconde, CVE-2026-5174, est une faille de validation des entrées notée CVSS 8.8 (NIST) et 7.7 (Progress/CNA). Les deux résident dans les interfaces du port de commande du backend du service. Utilisées ensemble, elles ouvrent la voie d’un accès réseau non authentifié à un contrôle administratif de l’environnement MOVEit Automation. Progress en précise directement la conséquence : « L’exploitation peut entraîner un accès non autorisé, un contrôle administratif et une exposition de données. »

Le crédit de la découverte revient aux chercheurs Anaïs Gantet, Delphine Gourdou, Quentin Liddell et Matteo Ricordeau d’Airbus SecLab, selon The Hacker News. À la date de la divulgation, aucune exploitation active n’a été confirmée. Aucun proof-of-concept public n’a émergé. C’est la bonne nouvelle. La mauvaise, c’est ce que l’histoire enseigne sur la durée de ce statu quo pour une faille critique de MFT avant authentification.

Pourquoi MOVEit Automation est une cible privilégiée

MOVEit Automation — anciennement MOVEit Central, puis Ipswitch MOVEit Central — n’est pas un produit de niche. Il s’agit du moteur de planification et de workflow utilisé par les organisations pour transférer automatiquement salaires, transactions financières, fichiers partenaires, dossiers médicaux et données d’ingénierie. La plateforme stocke ou accède régulièrement à des identifiants intégrés dans les tâches d’automatisation, car c’est ainsi que l’automatisation fonctionne.

Ce profil explique pourquoi le transfert sécurisé de fichiers est devenu une cible structurelle pour les groupes de ransomware et les courtiers d’accès initial. Le Dragos 2026 OT/ICS Cybersecurity Year in Review a documenté ce schéma sur plusieurs plateformes MFT en 2024 et 2025. Cleo MFT (CVE-2024-50623, CVE-2024-55956) a été exploité par Cl0p dès la fin 2024, avec plus de 300 victimes revendiquées dans les secteurs du transport, de la fabrication et de l’agroalimentaire. CrushFTP a subi deux campagnes en 2025 — CVE-2025-31161 en mars et CVE-2025-54309 en juillet. Wing FTP a été touché par CVE-2025-47812 via une injection Lua permettant une exécution de code SYSTEM. La conclusion de Dragos est sans détour : les plateformes de transfert de fichiers sont devenues une cible persistante pour les groupes de ransomware et les courtiers d’accès initial cherchant à monnayer l’accès ou à extorquer des fonds.

Les divulgations MOVEit de 2026 s’inscrivent dans ce schéma. Elles ne l’exigent pas. Ce sont les logiques économiques des attaquants qui le dictent. Le MFT se situe à la périphérie, héberge des données sensibles, est largement déployé et géré par des équipes IT qui ne patchent pas toujours en urgence. Pour un attaquant, c’est une cible structurellement attractive. Pour un acheteur, c’est une information qui doit guider les choix architecturaux.

Ce que 2023 a réellement révélé

En mai 2023, Progress a divulgué CVE-2023-34362, une vulnérabilité d’injection SQL dans MOVEit Transfer — un autre produit de la famille MOVEit, et une classe de faille différente de celles de 2026. En quelques jours, le groupe Cl0p, suivi par CISA sous le nom TA505, l’exploitait à grande échelle via le web shell LEMURLOOT. CISA a ajouté la CVE à son catalogue des vulnérabilités exploitées le 2 juin 2023. À la fin de la campagne, plus de 2 700 organisations avaient été touchées et des dizaines de millions de personnes avaient été impactées. Les recours collectifs fédéraux ont suivi.

La bonne utilisation de cette histoire n’est pas d’en faire une prévision pour CVE-2026-4670. Les deux produits sont différents. Les deux failles aussi. À la date de divulgation, rien n’indique que les failles 2026 soient exploitées. La mauvaise utilisation serait de la juger sans rapport avec l’évaluation des risques. Ce que 2023 a établi, c’est une base de référence : les failles critiques de MFT avant authentification sont rapidement exploitées. La campagne Cl0p a débuté le 27 mai 2023 — quatre jours avant l’avis public de Progress. Les défenseurs qui ont réagi après l’avis public avaient déjà quatre jours de retard sur les attaquants.

C’est le calcul que font aujourd’hui les équipes de cybersécurité utilisant MOVEit Automation. Installer le correctif complet, accepter l’arrêt planifié, et espérer que le schéma historique ne se répète pas. La question à plus long terme, pour tous ceux qui utilisent du MFT, est de savoir si le choix d’architecture qui place un port de commande autonome en périphérie reste pertinent.

Ce que disent les chiffres sur la sécurité du MFT aujourd’hui

La réponse pertinente à cette question architecturale repose sur des données. Le rapport Kiteworks Data Security and Compliance Risk : 2025 MFT Survey Report révèle que 59 % des organisations ont subi un incident lié au MFT l’an dernier, malgré des programmes de sécurité jugés matures. Les causes sont architecturales, pas liées à la sophistication des menaces. 63 % n’ont pas intégré le MFT à leur SIEM ou SOC, créant d’importantes zones d’ombre dans la détection des menaces. 62 % utilisent des systèmes fragmentés entre MFT, messagerie électronique, partage de fichiers et formulaires web. Chaque point de fragmentation implique une politique distincte, un journal d’audit distinct et une posture de correctif d’urgence distincte.

Le niveau d’automatisation est encore plus corrélé aux incidents. Le rapport 2025 MFT Survey Report montre que les organisations avec moins de 50 % d’automatisation MFT déclarent un taux d’incident de 71 %. Les 13 % d’organisations ayant 90 à 100 % d’automatisation — celles qui considèrent le MFT comme un contrôle stratégique et non un processus manuel — n’en déclarent que 29 %. L’écart n’est pas une coïncidence. L’automatisation de bout en bout impose la consolidation sur des contrôles qui résistent à une divulgation d’urgence. Les processus manuels créent les failles exploitées par les CVE critiques.

L’analyse supply chain du Black Kite’s 2026 Third-Party Breach Report est encore plus parlante. 136 incidents de violation de tiers vérifiés en 2025. 719 entreprises victimes nommées publiquement. On estime à 26 000 le nombre d’entreprises supplémentaires touchées mais non nommées. Le délai médian de divulgation publique est de 73 jours. Quand une plateforme MFT comme MOVEit est exploitée à grande échelle, la plupart des organisations en aval ne découvrent leur exposition qu’après plus de deux mois en moyenne. Le contrôle que peuvent exercer les acheteurs est en amont : choisir une infrastructure d’échange de données avec la surface d’attaque la plus réduite et la meilleure traçabilité possible.

À quoi ressemble la menace en 2026

La vulnérabilité MOVEit de 2026 n’apparaît pas dans un contexte calme. Le CrowdStrike 2026 Global Threat Report fait état d’une hausse de 89 % des activités adverses dopées à l’IA, d’un délai moyen de 29 minutes entre l’accès initial et le mouvement latéral pour l’eCrime, et de 82 % des détections désormais sans malware. Le message est clair : les attaquants vont plus vite, exploitent les faiblesses d’identité et de configuration plutôt que les signatures, et accélèrent la reconnaissance et l’ingénierie sociale grâce à l’IA.

La posture de gestion des données ne suit pas. Le 2026 Thales Data Threat Report indique que seulement 33 % des organisations savent précisément où sont stockées leurs données. Si deux tiers des organisations ne peuvent localiser leurs données sensibles, elles ne peuvent pas estimer l’exposition en cas de compromission de la plateforme qui les déplace. Le WEF Global Cybersecurity Outlook 2026 raconte la même histoire côté direction : la perturbation de la supply chain est désormais la deuxième préoccupation cyber pour les RSSI et continue de grimper dans la liste des priorités des PDG. Les vulnérabilités liées à l’IA figurent désormais dans le top 5 des PDG d’organisations les plus résilientes.

Face à ces signaux et à la divulgation MOVEit 2026, la conclusion pour les équipes de cybersécurité est limpide. Les cycles de correctifs raccourcissent, le rythme des attaquants s’accélère, la visibilité sur les données ne progresse pas, et la concentration du risque structurel dans les logiciels MFT ne change pas. Un correctif corrige une faille. Les correctifs ne corrigent pas l’exposition architecturale.

L’alternative architecturale Kiteworks

Kiteworks ne profite pas de la divulgation MOVEit. Il propose une alternative architecturale que les acheteurs devraient évaluer objectivement. La proposition est structurelle : consolider le transfert sécurisé de fichiers, la messagerie électronique, le partage de fichiers, SFTP, les formulaires web et les intégrations de données IA sur une appliance virtuelle durcie unique avec un moteur de règles, un journal d’audit consolidé et un ensemble unique de contrôles de sécurité. L’architecture change la donne à trois niveaux.

Premièrement, la plateforme est durcie au niveau de l’appliance, et non de l’infrastructure du client. Le pare-feu réseau, le pare-feu applicatif web et la détection d’intrusion sont gérés par Kiteworks. La configuration sécurité côté client n’est plus une dépendance comme avec les produits MFT installés sur l’infrastructure du client. Le modèle de défense en profondeur est démontrable : quand Log4Shell affichait un CVSS de 10 dans l’industrie, l’impact dans l’architecture Kiteworks était limité à un CVSS de 4, car les contrôles en couches contenaient l’exposition. Il ne s’agit pas de prétendre que Kiteworks est immunisé contre les failles. Aucun éditeur ne l’est. Il s’agit de montrer comment l’architecture limite l’exposition lorsqu’une faille survient.

Deuxièmement, chaque déploiement Kiteworks est à locataire unique. Les bases de données, systèmes de fichiers et environnements d’exécution ne sont pas partagés entre clients. Les attaques entre locataires, fréquentes dans le cloud mutualisé, ne traversent pas des frontières qui n’existent pas. Pour les échanges de données réglementés — transactions financières, dossiers médicaux, données de défense, identifiants partenaires — l’isolation à locataire unique est un contrôle structurel, pas une option de configuration.

Troisièmement, la consolidation remplace les solutions point à point. Le MFT n’est qu’un canal. Les entreprises échangent aussi des données sensibles par messagerie, formulaires web, partage de fichiers, SFTP, API, et de plus en plus via des assistants et agents IA. Quand chaque canal repose sur une pile éditeur différente avec son propre cycle de correctifs, chaque divulgation devient une nouvelle alerte. Les unifier sur une même plateforme avec un seul journal d’audit réduit la surface d’attaque et la charge opérationnelle. C’est la réponse architecturale au cycle récurrent des CVE MFT.

Que faire cette semaine, ce trimestre et cette année

Des actions concrètes, pas des intentions. Premièrement, si vous utilisez MOVEit Automation, appliquez le correctif immédiatement. Mettez à jour vers 2025.1.5, 2025.0.9 ou 2024.1.8 à l’aide de l’installeur complet, conformément à l’avis Progress. Il n’existe ni solution de contournement ni raccourci. Planifiez l’arrêt, informez les unités opérationnelles concernées et effectuez la mise à niveau selon le calendrier recommandé par le fournisseur. Vérifiez la version après mise à jour dans Aide > À propos.

Deuxièmement, auditez votre exposition MFT. Repérez chaque instance MOVEit Automation — y compris celles qui portent encore la marque MOVEit Central ou Ipswitch MOVEit Central dans votre inventaire. Les environnements hérités sont souvent mis à jour sur place plutôt que reconstruits, ce qui laisse des composants orphelins non patchés. Les environnements d’automatisation anciens sont précisément ceux où se cachent les instances non gérées.

Troisièmement, limitez l’exposition réseau sur les interfaces du port de commande backend du service. Elles ne doivent pas être accessibles depuis Internet. Vérifiez que l’accès est restreint aux systèmes autorisés et validez-le par un scan réseau plutôt qu’une simple revue de configuration. Les données du rapport Kiteworks 2025 MFT Survey Report montrent que 63 % des organisations n’ont pas intégré le MFT à leur SIEM ou SOC — ce qui signifie que même si l’exposition change, la plupart des équipes ne le verront pas dans leur supervision.

Quatrièmement, examinez les journaux d’audit pour la période comprise entre la divulgation et le correctif. Recherchez tout changement de privilège inattendu, nouveau compte administratif, activité anormale liée aux interfaces backend, et tout transfert de fichiers ne correspondant pas aux workflows documentés. Selon le Black Kite Third-Party Breach Report 2026, le délai médian de divulgation publique pour une violation de tiers est de 73 jours. Découvrir l’incident dans votre propre environnement est plus rapide que d’attendre qu’un tiers vous en informe.

Cinquièmement, planifiez une revue architecturale ce trimestre. La question n’est pas de savoir s’il faut patcher MOVEit — vous le faites déjà. La vraie question est combien de cycles de vulnérabilité MFT votre équipe et votre entreprise peuvent encore absorber avec l’architecture actuelle. Les données du rapport Kiteworks 2025 MFT Survey Report montrent que 62 % des organisations utilisent des systèmes fragmentés entre MFT, messagerie, partage de fichiers et formulaires web. Chacun de ces fragments est une posture d’urgence potentielle.

Sixièmement, échangez avec les équipes Juridique et Conformité. Dès qu’une CVE est publiée dans la NVD, les organisations sont réputées informées pour les cadres réglementaires imposant la correction des vulnérabilités connues. La posture de découverte change dès la divulgation. Documentez le calendrier de patch, la revue d’audit et la décision architecturale. La solidité de la réponse dépend de la traçabilité des preuves, pas seulement de la rapidité du patch.

La question finale n’est pas de savoir si MOVEit Automation sera exploité à grande échelle. Peut-être. Peut-être pas. La question essentielle, pour toute organisation qui transfère des données sensibles via un logiciel de MFT, est de savoir si la prochaine divulgation critique entraînera une course contre la montre ou passera inaperçue. C’est l’architecture qui décide.