CitrixBleed 2 : une nouvelle alerte qui souligne les limites des architectures d’accès classiques

La découverte de la vulnérabilité CVE-2025-5777, surnommée CitrixBleed 2, remet en lumière les failles systémiques des architectures d’accès distant traditionnelles. Cette faille critique, affectant Citrix NetScaler ADC et Gateway, permet à des attaquants le vol de clés d’accès, permettant notamment le contournement de l’authentification multifacteur. Malgré la publication de correctifs par Citrix, des signes d’exploitation active ont été détectés, mettant en évidence la nécessité d’une refonte des approches de sécurité des accès distants.

Des failles classiques qui se répètent

Ce n’est pas la première fois que Citrix est au cœur d’un incident de ce type. Et ce n’est pas un hasard. La plupart des solutions d’accès distants — Citrix Gateway, RDP, VPN — reposent encore sur des principes conçus pour les réseaux d’entreprise des années 2000. Avec à la clé, des points de rupture bien connus :

• Ports exposés : Des services comme RDP ou VNC exigent des ports ouverts, détectables en quelques minutes via des scans automatisés. C’est la porte d’entrée rêvée pour les attaques par force brute ou les exploits non patchés.
  
  
• Sessions persistantes : Même après un correctif, les sessions actives ne sont pas forcément révoquées, avec à la clé des compromissions dans des entreprises majeures.
  
  
• Confiance implicite : Une fois connecté via VPN, un utilisateur obtient souvent un accès large au réseau — un cauchemar du point de vue du moindre privilège. Un jeton compromis suffit pour naviguer librement.

Résultat : chaque faille devient une course contre la montre. Et trop souvent, c’est l’attaquant qui gagne.

Réagir en amont, plutôt qu’après l’incident

Certaines architectures, plus modernes, proposent une réponse différente. Plutôt que de colmater les brèches après coup, elles cherchent à réduire la surface d’attaque dès le départ.

C’est le cas de solutions comme Reemo, qui intègrent nativement les principes du Zero Trust Network Access (ZTNA), sans exiger une refonte complète du SI. Ce modèle repose sur plusieurs piliers techniques, pensés pour bloquer les scénarios type CitrixBleed avant même qu’ils ne deviennent exploitables :

• Connexion sortante uniquement : L’agent Reemo initie la connexion. Aucun port n’est exposé. Ce simple choix d’architecture fait disparaître des milliers de points d’entrée.
  
  
• Isolation des accès : Chaque session peut être lancée dans un conteneur dédié, jetable et cloisonné. Pas de persistance, pas de résidu exploitable.
  
  
• Rupture protocolaire : En ne laissant transiter que des flux sortants sécurisés, Reemo bloque les attaques qui s’appuient sur des failles RDP, VNC ou SSH.
  
  
• Administration granulaire : Les droits d’accès sont définis à la session, à l’utilisateur, à la machine ou à l’application. Et surtout, dans le temps. Un accès qui n’est pas explicitement autorisé n’existe tout simplement pas.
  
  
• Intégration non invasive : Pas besoin de débrancher l’existant pour sécuriser les accès. L’approche est complémentaire aux SI et environnements cloud déjà en place.

Ce que change une posture proactive

Là où les infrastructures traditionnelles espèrent que les correctifs arriveront à temps, une approche comme celle de Reemo réduit mécaniquement les possibilités d’exploitation. Moins de dépendance aux patchs, moins d’interventions post-incident, moins de coûts de remédiation.

Autrement dit : on ne sécurise pas dans l’urgence, on évite que l’urgence ne se produise.

Une faille, des questions plus larges

CitrixBleed 2 n’est pas qu’un CVE de plus dans une base de données. C’est un rappel que les menaces évoluent plus vite que les infrastructures. Et que tant qu’on continuera à bâtir la sécurité des accès sur des modèles d’un autre temps, on restera vulnérables par conception.

Il ne s’agit plus seulement de patcher. Il s’agit de repenser.