La porte est un outil que vous n'avez jamais installé
La plupart des entreprises n'exécutent pas SimpleHelp elles-mêmes. C'est leur prestataire informatique externe ou leur partenaire de services gérés qui le fait, et cet outil de supervision et de gestion à distance est précisément ce qui permet à un technicien d'atteindre chaque ordinateur portable et chaque serveur pour intervenir sans se déplacer au bureau. CVE-2026-48558 transforme ce confort en passe-partout. La faille tient à la manière dont SimpleHelp traitait les jetons d'identité du protocole OpenID Connect : le serveur acceptait un jeton sans en vérifier correctement la signature cryptographique, si bien qu'un attaquant sans identifiants pouvait forger son propre jeton, le présenter et obtenir une session de technicien pleinement privilégiée.
De là, l'attaquant peut faire ce que fait n'importe quel technicien : se connecter aux machines gérées, exécuter des scripts et se déplacer dans tout le parc. L'authentification à plusieurs facteurs n'a pas sauvé les installations vulnérables, car l'intrus enregistrait simplement son propre appareil MFA lors de la première connexion. Horizon3.ai, la société de sécurité qui a découvert la faille, a signalé environ 14 000 serveurs SimpleHelp joignables depuis l'internet ouvert lors de sa publication le 12 juin, dont environ 7,2 pour cent d'un échantillon exécutant la configuration OpenID précise qui rend le contournement possible.
Pourquoi la faille d'un fournisseur devient votre incident
La réaction tentante est de classer cela comme le problème du prestataire informatique. Sous NIS2, cette lecture est fausse. Pour une entité essentielle ou importante dans le champ, l'obligation de détecter, gérer et notifier un incident significatif reste à l'opérateur, et la compromission de l'outil avec lequel vos postes sont administrés est à peu près aussi significative que possible. En France, l'ANSSI est l'autorité de référence et le canal de notification, et le cadre national va dans le même sens : vous répondez de la sécurité des services rendus pour votre compte. Le fournisseur livre le correctif, mais l'horloge de la notification et la responsabilité courent de votre côté du contrat.
C'est la forme du risque de chaîne d'approvisionnement aujourd'hui. Une faille dans un outil d'administration très répandu n'est pas une violation, c'est une clé partagée vers des milliers d'entreprises en aval en même temps, dont aucune n'a choisi ni même vu le code vulnérable. L'éditeur a découvert, divulgué et corrigé cela de manière responsable, avec un correctif le 26 mai, des semaines avant la divulgation publique. C'est ainsi que le système doit fonctionner. L'exposition résiduelle dépend entièrement de la rapidité avec laquelle chaque opérateur, et chaque prestataire agissant pour lui, l'a réellement appliqué.
La question qui revient à votre prochaine revue fournisseurs
SimpleHelp a publié les versions corrigées 5.5.16 et 6.0 RC2, et la CISA a ajouté la faille à son catalogue des vulnérabilités exploitées avec une échéance au 2 juillet, ce qui signifie qu'il a été ordonné aux agences fédérales de corriger et qu'elle est exploitée dans la nature. Les attaquants utilisent l'accès pour livrer le voleur d'informations Djinn, qui récolte des identifiants ouvrant la porte suivante. Seule la configuration précise est exploitable, la connexion OpenID avec les connexions de technicien authentifiées par groupe activées, mais cette configuration a été trouvée active dans des installations réelles, aucun opérateur ne devrait donc se croire hors de portée sans vérifier.
Le geste concret n'est pas technique pour la plupart des dirigeants, il est contractuel et c'est une conversation. Demandez à celui qui gère vos machines trois choses : quel outil d'administration à distance il utilise, dans quelle version il tourne aujourd'hui et à quelle vitesse il applique les correctifs critiques une fois publiés par l'éditeur. Si l'une de ces réponses est vague, ce flou fait désormais partie de votre registre des risques. L'outil que vous n'avez jamais installé peut tout de même être la raison pour laquelle votre horloge de notification démarre, et les opérateurs qui posent la question avant qu'un attaquant ne l'impose sont ceux qui gardent la maîtrise du calendrier.
À lire ensuite: Une IA a mene seule tout un attaque par rancongiciel | Une faille Squid de 29 ans fuite les logins en clair



