En bref

  • CVE-2025-32975 (CVSS 10.0) permet à des attaquants non authentifiés de prendre le contrôle total de Quest KACE SMA via un contournement d'authentification SSO.
  • Les secteurs de l'éducation et de l'entreprise sont activement ciblés depuis mars 2026, avec des post-exploitations incluant Mimikatz et des comptes admin frauduleux.
  • Migrer immédiatement vers KACE SMA v12.1 ou supérieure et isoler toute instance exposée sur Internet dans l'attente du déploiement du correctif.

Un bypass SSO transformé en prise de contrôle totale du parc IT

Quest KACE Systems Management Appliance (SMA), la plateforme de gestion IT déployée dans des milliers d'entreprises et d'établissements d'enseignement à travers le monde, est actuellement la cible de campagnes d'exploitation actives visant la vulnérabilité critique CVE-2025-32975, notée CVSS 10.0, la sévérité maximale. La faille réside dans un mécanisme de validation défaillant de l'authentification SSO (Single Sign-On) : un attaquant non authentifié peut se faire passer pour n'importe quel utilisateur, y compris un administrateur système, sans posséder le moindre identifiant valide. Une fois ce premier accès obtenu, la chaîne d'attaque documentée par les chercheurs d'Arctic Wolf dans des environnements clients réellement compromis révèle une exploitation particulièrement sophistiquée : les acteurs malveillants s'appuient sur les fonctionnalités natives de KACE SMA pour exécuter des commandes arbitraires sur les systèmes managés, créent des comptes administrateurs frauduleux pour assurer leur persistance à long terme, et déploient des outils de collecte de credentials comme Mimikatz en vue d'un mouvement latéral ciblant d'autres systèmes critiques de l'organisation. La plateforme KACE SMA étant architecturalement conçue pour administrer l'intégralité des terminaux d'une organisation — de la gestion des correctifs au déploiement de logiciels en passant par l'inventaire des actifs — sa compromission équivaut en pratique à remettre les clés de l'ensemble du parc informatique géré aux attaquants. Le secteur de l'éducation a été formellement identifié parmi les verticales affectées, mais la distribution réelle des victimes semble nettement plus large selon les premiers éléments disponibles.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Quest avait publié un correctif initial en mai 2025 pour les versions 11.0 à 12.0, puis un patch d'urgence complémentaire le 18 mars 2026 suite à la montée en puissance des exploitations confirmées. Malgré la disponibilité des correctifs depuis près d'un an pour certaines versions, une proportion significative d'organisations n'avait toujours pas mis à jour ses instances lors de la confirmation de l'exploitation active. Cette situation reflète une problématique structurelle bien connue des RSSI : les appliances réseau, contrairement aux serveurs applicatifs classiques, nécessitent des fenêtres de maintenance planifiées avec impact potentiel sur la continuité de service, ce qui retarde systématiquement leur patching. SOCRadar a par ailleurs publié une analyse technique détaillée du mécanisme de bypass SSO, facilitant le développement d'exploits supplémentaires par des acteurs moins expérimentés.

Pourquoi les plateformes d'IT management sont des cibles critiques de premier rang

Les solutions de gestion IT comme Quest KACE SMA occupent une position architecturale privilégiée dans les systèmes d'information d'entreprise : accès privilégié à tous les endpoints, capacité à pousser scripts et configurations à grande échelle, inventaires exhaustifs des actifs logiciels et matériels. Pour un attaquant, compromettre ce type de plateforme revient à obtenir les clés de toute l'infrastructure en un seul mouvement initial, ce qui en fait des cibles prioritaires pour les groupes ransomware et les acteurs APT les plus sophistiqués. CVE-2025-32975 s'inscrit dans une tendance documentée d'attaques ciblant les appliances d'administration à haute valeur stratégique : les failles critiques récentes sur VMware Aria Operations (CVE-2026-22719) et sur Cisco Firepower Management Center (CVE-2026-20131) ont toutes deux conduit à des compromissions sévères en production selon des schémas d'exploitation quasi identiques. Les équipes d'Arctic Wolf soulignent que la sophistication des post-exploitations observées — déploiement de Mimikatz, persistance multi-vecteurs, reconnaissance réseau structurée — suggère des attaquants expérimentés, potentiellement affiliés à des groupes ransomware établis disposant de ressources importantes. Pour les équipes sécurité, CVE-2025-32975 doit être traité avec le même niveau d'urgence que les vulnérabilités CISA KEV actives comme CVE-2025-68613 sur n8n ou les récentes failles sur Oracle Identity Manager (CVE-2026-21992). Le vecteur sans authentification, combiné à la criticité des actifs gérés, crée une combinaison particulièrement dangereuse pour toute organisation qui n'a pas encore appliqué le correctif disponible.

Ce qu'il faut retenir

  • CVE-2025-32975 (CVSS 10.0) permet un contournement complet de l'authentification SSO dans Quest KACE SMA, sans identifiant requis.
  • L'exploitation active est confirmée depuis début mars 2026 avec des chaînes d'attaque sophistiquées incluant Mimikatz, persistance et mouvement latéral.
  • Mettre à jour vers KACE SMA v12.1+ immédiatement, isoler les instances exposées sur Internet, et auditer les comptes administrateurs et journaux de commandes depuis janvier 2026.

Comment détecter une compromission de Quest KACE SMA via CVE-2025-32975 ?

Recherchez dans les journaux KACE des connexions SSO anormales sans activité préalable de fédération d'identité, des créations soudaines de comptes administrateurs non planifiées, l'exécution de scripts non référencés sur des machines gérées, et la présence d'outils comme Mimikatz ou PsExec dans les artefacts de déploiement. Arctic Wolf recommande d'examiner les modifications apportées aux règles de déploiement et aux inventaires depuis janvier 2026. Toute anomalie doit être traitée comme une compromission avérée jusqu'à preuve du contraire, compte tenu de l'accès massif que confère KACE SMA sur l'ensemble du parc. En cas de doute, isolez l'appliance du réseau et faites appel à une équipe de réponse à incident avant toute remédiation.

Article suivant recommandé

NVIDIA Agent Toolkit : IA autonome sécurisée en prod →

NVIDIA a lancé l'Agent Toolkit à GTC 2026, une plateforme open source complète pour déployer des agents IA autonomes en

Sources et références

Comment renforcer la cybersécurité de votre organisation ?

Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.

Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?

Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.

Quels sont les premiers pas pour sécuriser une infrastructure ?

Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Termes clés

  • cyberattaque
  • ransomware
  • phishing
  • vulnérabilité
  • patch
  • zero-day
  • CERT
  • ANSSI

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.