Faille zero-day de contournement d'authentification dans le VPN Check Point exploitée (CVE-2026-50751)

Le 8 juin 2026, Check Point Software Technologies — l'éditeur israélien de solutions de sécurité réseau — a révélé que des attaquants exploitaient activement une faille zero-day critique de contournement d'authentification, référencée CVE-2026-50751, dans ses produits VPN Remote Access et Mobile Access. La faille permet à un attaquant d'établir une session VPN sans mot de passe valide, et Check Point a relié au moins une intrusion confirmée à un affilié du rançongiciel Qilin.

Ce qui s'est passé

CVE-2026-50751 est une faille d'authentification incorrecte (CWE-287) affichant un score CVSS de 9,3. Elle touche les déploiements Remote Access VPN et Mobile Access configurés pour utiliser le protocole d'échange de clés IKEv1, désormais obsolète. En exploitant un défaut de logique dans la validation des certificats, un attaquant peut contourner l'exigence de mot de passe et s'authentifier auprès de la passerelle VPN comme un utilisateur d'accès distant légitime.

Selon Check Point, la première exploitation observée remonte au 7 mai 2026, l'entreprise ayant repéré une activité suspecte le 4 juin 2026. L'exploitation s'est jusqu'ici limitée à quelques dizaines d'organisations ciblées dans le monde, mais dans au moins un cas, l'accès a été suivi d'une activité post-compromission associée à un affilié du rançongiciel Qilin — transformant un point d'entrée VPN en première étape d'une intrusion par rançongiciel.

Au cours de son enquête, Check Point a identifié un second problème connexe — CVE-2026-50752 — également lié à la validation des certificats dans l'échange IKEv1 obsolète, qui pourrait, dans certaines conditions, permettre une interférence de type « homme du milieu » sur le trafic VPN de site à site.

Impact

Un contournement d'authentification critique (CVSS 9,3) permettant des connexions VPN sans mot de passe sur les passerelles configurées en IKEv1.
Une exploitation active dans la nature observée contre plusieurs dizaines d'organisations à l'échelle mondiale.
Au moins une intrusion liée à un affilié du rançongiciel Qilin, laissant craindre un chiffrement et une extorsion ultérieurs.
Check Point a publié des correctifs d'urgence et conseillé aux clients ne pouvant pas appliquer le patch immédiatement de désactiver le client d'accès distant hérité, de restreindre l'authentification à IKEv2 uniquement et de rendre obligatoire l'authentification par certificat machine.

Pourquoi c'est important

Les équipements de périphérie — passerelles VPN et pare-feu en particulier — restent le vecteur d'accès initial favori des groupes de rançongiciels, car un simple contournement d'authentification offre à l'attaquant une position de confiance à l'intérieur du périmètre réseau. L'angle IKEv1 rappelle que les protocoles obsolètes laissés actifs pour des raisons de compatibilité constituent une source de risque récurrente : la configuration sécurisée existait, mais les paramétrages hérités ont maintenu la voie vulnérable assez longtemps pour que les attaquants la trouvent.

Chronologie

7 mai 2026

Première exploitation observée de CVE-2026-50751 contre des déploiements VPN Remote Access de Check Point.

4 juin 2026

Check Point repère les premiers signes d'activité suspecte liés à la faille.

8 juin 2026

Check Point publie un avis de sécurité et des correctifs pour CVE-2026-50751 (et la faille connexe CVE-2026-50752), confirmant une exploitation active dans la nature.

Sources

helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/06/08/check-point-cve-2026-50751-qilin-ransomware/

thehackernews.comhttps://thehackernews.com/2026/06/critical-check-point-vpn-flaw-exploited.html

blog.checkpoint.comhttps://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/check-point-links-vpn-zero-day-attacks-to-qilin-ransomware-gang/

rapid7.comhttps://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751/

Incidents liés

RançongicielEn cours27 avril 2026

Exclusive Networks : cyberattaque chez un acteur clé des solutions de cybersécurité

Le 27 avril 2026, le groupe de ransomware Qilin a inscrit Exclusive Networks — distributeur mondial de solutions de cybersécurité basé en France — sur son site de fuites, menaçant de publier des données volées faute de négociation ; l'ampleur restait non confirmée.

Victim: Exclusive Networks

Faille zero-dayEn cours10 juin 2026

La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Victim: Microsoft Defender

Faille zero-dayEn cours10 juin 2026

Faille zero-day d'Oracle PeopleSoft PeopleTools exploitée par ShinyHunters (CVE-2026-35273)

Oracle a publié une alerte d'urgence hors calendrier après que le groupe ShinyHunters a exploité une faille zero-day critique d'exécution de code à distance sans authentification dans PeopleSoft PeopleTools pour voler les données de plus de 100 organisations, en majorité des universités.

Victim: Oracle PeopleSoft

Faille zero-dayContenu9 juin 2026

Google corrige une faille zero-day activement exploitée dans le moteur V8 de Chrome (CVE-2026-11645)

Google a publié une mise à jour d'urgence de Chrome corrigeant CVE-2026-11645, une faille mémoire de gravité élevée dans le moteur V8 qui permet à une page web piégée d'exécuter du code arbitraire et pour laquelle un exploit circule déjà.

Victim: Google Chrome