Selon Bloomberg (The Big Take, 19 févr. 2026), des campagnes d’intrusion attribuées à la Chine ont exploité à plusieurs reprises des failles 0‑day des VPN Ivanti Connect Secure (ex‑Pulse Secure), touchant des agences civiles US (dont la CISA elle‑même), des entités de la défense, des banques et des entreprises. L’article investigue aussi le rôle des pressions financières du private equity sur la sécurité produit.

• Chronologie et portée des intrusions: en 2021, 119 organisations ont été compromises, y compris le propre data center californien de Pulse. Début 2024, près de deux douzaines d’organisations ont été infiltrées avant divulgation publique; deux bases CISA sensibles ont été compromises via Connect Secure malgré l’application du correctif recommandé. En janvier 2025, une nouvelle campagne a touché notamment Nominet (R.-Uni), qu’Ivanti décrit comme un nombre « limité » de clients affectés.

• Produits et vulnérabilités: les attaques visent les appliances VPN Ivanti Connect Secure / Pulse Secure, technologies « edge » critiques exposées à Internet et reposant en partie sur du code legacy. Les intrusions s’appuient sur plus d’une douzaine de failles inconnues (0‑day) sur plusieurs années et, au moins en 2021, sur l’installation d’une porte dérobée dans l’instance VPN interne utilisée par Pulse.

• Impacts et réactions: la CISA, le FBI et des agences alliées (R.-Uni, Canada, Australie, Nouvelle‑Zélande) ont averti du « risque significatif » lié à l’usage continu des produits concernés; plusieurs agences US (DoD, FAA, NASA, Trésor), le MITRE, ainsi que des acteurs privés (Wells Fargo, Deutsche Bank) ont retiré Connect Secure. Fitch rapporte qu’Ivanti a vu sa base clients chuter à 34 000 (févr. 2025) et a procédé à un échange de dette « distressed » en 2025. Ivanti conteste l’idée que des coupes auraient dégradé la sécurité, affirme avoir renforcé les processus et publié une version majeure de Connect Secure en septembre, tout en soulignant que les VPN sont des cibles constantes.

Organisations affectées

Les produits Connect Secure étaient utilisés par de nombreuses organisations sensibles :

  • Département de la Défense américain
  • NASA
  • Federal Reserve
  • FAA
  • Département d’État
  • CISA elle-même
  • Grandes banques
  • Entreprises privées

Certaines bases de données sensibles de CISA concernant les infrastructures critiques ont été compromises malgré l’application des correctifs. :contentReference[oaicite:1]{index=1}

Campagnes d’attaque

Au moins trois campagnes majeures attribuées à des acteurs chinois ont visé les VPN Connect Secure depuis 2020 :

  • 2021 : environ 119 organisations compromises
  • 2024 : agences gouvernementales infiltrées
  • 2025 : nouveaux incidents impliquant des clients Ivanti

Ces attaques ont exploité de multiples vulnérabilités inconnues. :contentReference[oaicite:2]{index=2}

Causes structurelles

L’enquête indique que la situation pourrait être liée à des facteurs organisationnels :

  • Ivanti est détenue par des fonds de private equity
  • Forte dette financière (plusieurs milliards de dollars)
  • Réduction des équipes d’ingénierie
  • Diminution des investissements sécurité
  • Perte d’expertise technique

Des ingénieurs et responsables sécurité ont signalé que ces réductions ont diminué la capacité à corriger les vulnérabilités. :contentReference[oaicite:3]{index=3}

Conséquences

Plusieurs organisations ont cessé d’utiliser Connect Secure :

  • Département de la Défense américain
  • MITRE
  • NASA (remplacement progressif)
  • Département de l’Énergie
  • Nominet (registre .uk)
  • Grandes banques

Les autorités américaines ont indiqué avoir perdu confiance dans la sécurité du produit. :contentReference[oaicite:4]{index=4}

Analyse

Les VPN restent des cibles privilégiées car ils constituent un point d’entrée direct vers les réseaux internes.

L’affaire illustre plusieurs tendances majeures :

  • Ciblage systématique des équipements en périphérie réseau (edge devices)
  • Activité soutenue d’espionnage cyber étatique chinois
  • Risques liés aux technologies héritées (legacy VPN)
  • Importance croissante des architectures Zero Trust

Conclusion

il s’agit d’un article de presse d’investigation visant à documenter des intrusions étatiques via des failles VPN Ivanti/Pulse et à analyser l’effet des stratégies financières de private equity sur la sécurité de produits critiques.

🔗 Source originale : https://www.bloomberg.com/news/features/2026-02-19/vpn-used-by-us-government-failed-to-stop-china-state-sponsored-hackers