Le catalogue KEV de la CISA vient de rappeler une règle simple : une faille exploitée n’est pas une ligne de plus dans un scanner, c’est un incident en attente. Entre le 5 et le 9 juin 2026, l’agence américaine a ajouté plusieurs vulnérabilités qui touchent des briques très différentes : navigateur Chromium, passerelles VPN Check Point, proxy IA LiteLLM, Cisco Catalyst SD-WAN Manager, équipements Arista EOS et SolarWinds Serv-U. Pour une équipe sécurité, le signal est clair : il faut sortir du patching par score CVSS et revenir au patching par exposition réelle.

Le 9 juin, trois nouvelles entrées ont été ajoutées au catalogue KEV : CVE-2026-11645 dans Google Chromium V8, CVE-2026-20245 dans Cisco Catalyst SD-WAN Manager et CVE-2026-7473 dans Arista EOS. La veille, la CISA avait ajouté CVE-2026-42271, une injection de commandes dans LiteLLM, et CVE-2026-50751, une faille d’authentification dans Check Point Security Gateway liée à IKEv1. Le 5 juin, CVE-2026-28318 visait SolarWinds Serv-U. Ce n’est pas une vague homogène : c’est une carte de la surface d’attaque moderne.

Le point critique : l’exploitation est déjà observée

La force du KEV n’est pas de classer les failles théoriques les plus graves. Sa valeur vient du critère d’entrée : la CISA exige des preuves d’exploitation active. Cela change la hiérarchie des urgences. Une vulnérabilité moyenne sur un service exposé et déjà exploitée passe devant une faille critique qui n’a pas encore de code d’attaque public.

Dans ce lot de juin, deux familles ressortent. D’abord les composants exposés directement à Internet : VPN, navigateur, portail de transfert de fichiers, contrôleurs réseau. Ensuite les outils internes devenus critiques : LiteLLM, qui sert de passerelle vers des modèles d’IA, et SD-WAN Manager, qui administre l’infrastructure réseau. Les attaquants ne cherchent plus seulement le serveur web frontal. Ils visent les consoles qui pilotent le reste.

Chromium V8 : le navigateur reste une cible stratégique

CVE-2026-11645 concerne V8, le moteur JavaScript de Chromium. D’après la fiche KEV, il s’agit d’une lecture et écriture hors limites pouvant permettre l’exécution de code dans un sandbox via une page HTML piégée. L’impact dépasse Chrome : Microsoft Edge, Opera et d’autres navigateurs basés sur Chromium peuvent être concernés selon leur version.

Le risque opérationnel est évident : le navigateur est à la fois outil de travail, client SaaS, console cloud et point d’entrée des applications internes. Pour les postes administrateurs, il faut traiter ce type de faille comme une urgence de parc, pas comme une simple mise à jour utilisateur.

# Inventaire rapide Chrome/Chromium/Edge sur Linux
google-chrome --version 2>/dev/null || true
chromium --version 2>/dev/null || true
microsoft-edge --version 2>/dev/null || true

# Sur macOS, à adapter dans MDM/Jamf
/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --version

LiteLLM : l’IA entre dans le catalogue des actifs sensibles

CVE-2026-42271 est probablement la plus intéressante pour les équipes web et data. LiteLLM est utilisé comme proxy pour agréger des appels vers OpenAI, Anthropic, Azure OpenAI, Bedrock ou des modèles locaux. La faille décrite par la CISA est une injection de commandes permettant à un utilisateur authentifié, même faiblement privilégié, d’exécuter des commandes sur l’hôte.

Ce détail compte. Beaucoup d’organisations ont déployé des proxys IA vite, parfois dans un coin de Kubernetes, avec des clés API puissantes et peu de segmentation. Si le proxy tombe, l’attaquant peut viser les variables d’environnement, les journaux de prompts, les tokens cloud, ou rebondir vers les services internes. L’IA n’est plus un gadget de laboratoire : c’est une porte d’administration de données.

Check Point VPN : le vieux protocole IKEv1 revient par la fenêtre

CVE-2026-50751 touche Check Point Security Gateway et concerne IKEv1, un protocole VPN historique. La CISA indique que la faille peut permettre à un attaquant distant non authentifié d’établir une connexion VPN sans mot de passe valide. Le champ known ransomware campaign use est marqué comme connu, ce qui doit suffire à accélérer la réponse.

La leçon est brutale : les fonctions héritées ne sont pas neutres. Un protocole conservé pour un vieux partenaire, un site distant ou une exception jamais nettoyée devient une route d’accès. Dans une crise ransomware, le VPN reste l’une des premières portes testées.

Cisco, Arista, SolarWinds : les couches réseau et transfert de fichiers

CVE-2026-20245 dans Cisco Catalyst SD-WAN Manager permettrait à un attaquant authentifié local d’exécuter des commandes arbitraires en root via un fichier spécialement conçu. CVE-2026-7473 dans Arista EOS concerne un mauvais traitement de paquets tunnelisés. CVE-2026-28318 dans SolarWinds Serv-U permet de faire planter le service via des requêtes POST non authentifiées avec un en-tête Content-Encoding: deflate.

Ces trois cas rappellent que la disponibilité est aussi un sujet de sécurité. Un transfert de fichiers qui tombe, un contrôleur réseau compromis ou un comportement inattendu sur des paquets tunnelisés peuvent interrompre des opérations métier sans exfiltration spectaculaire.

Priorité d’action pour les 48 prochaines heures

Voici l’ordre de traitement que je recommanderais dans une PME ou une agence web qui gère plusieurs environnements clients :

  1. VPN et accès distant : vérifier Check Point, désactiver IKEv1 si possible, appliquer le hotfix, contrôler les connexions récentes.
  2. Navigateurs administrateurs : pousser les mises à jour Chrome, Edge et Chromium sur les postes qui accèdent aux consoles cloud, hébergement, Git et finance.
  3. Proxys IA : mettre LiteLLM à jour, vérifier les clés internes, isoler le conteneur, relire les journaux d’accès.
  4. Contrôleurs réseau : traiter Cisco SD-WAN Manager et Arista EOS avec les équipes infra, en fenêtre courte mais prioritaire.
  5. Serv-U : mettre à jour, filtrer les requêtes anormales, surveiller les redémarrages de service.

Le bon réflexe : croiser KEV, inventaire et exposition

La question n’est pas seulement « avons-nous la CVE ? ». La bonne question est : « cette CVE est-elle sur un actif exposé, avec des privilèges, des secrets ou un rôle pivot ? ». Un navigateur sur poste standard n’a pas la même criticité qu’un navigateur sur poste d’administrateur cloud. Un LiteLLM de test sans clé sensible n’a pas le même impact qu’un proxy IA central connecté à tous les fournisseurs.

Priorité réelle = exploitation confirmée
                + exposition Internet
                + privilèges de l'actif
                + présence de secrets
                + facilité de restauration

Le catalogue KEV de juin 2026 montre une chose : les attaquants n’ont pas une obsession technologique, ils suivent les chemins utiles. Aujourd’hui, ces chemins passent par les navigateurs, les VPN, les proxys IA et les consoles réseau. La défense doit suivre le même réalisme.

Sources et références

W
WP Admin Lab

Architecte web full-stack. WordPress, performance, data et sécurité. Notes de terrain, tests reproductibles et retours d'expérience.