trueNetLab logo
FR
Sophos Connect : pourquoi les admins ne devraient pas traquer des blogs

Sophos Connect : pourquoi les admins ne devraient pas traquer des blogs

12 min read
Network Sophos Security

Table des matières

Sophos Connect 2.5 MR1 pour Windows est disponible. À première vue, cela ressemble à une petite version de maintenance : quelques corrections côté client, un composant tiers mis à jour, et un téléchargement via le pare-feu ou directement chez Sophos.

Mais c’est précisément là que le problème commence.

Sophos Connect n’est pas un petit outil pratique pour des connexions VPN occasionnelles. Le client tourne sur des endpoints Windows, établit des accès VPN distants et représente, pour beaucoup d’organisations, un chemin direct vers le réseau interne. Quand un tel outil de sécurité met à jour une bibliothèque cryptographique importante, l’information ne devrait pas donner l’impression d’être cachée dans un billet de communauté.

Ce qui me dérange encore plus : OpenSSL 3.3.7 a été publié le 7 avril 2026. Sophos Connect 2.5 MR1 est arrivé le 18 juin 2026. Cela fait environ dix semaines. Pour une application de bureau classique, ce serait peut-être simplement une mise à jour tardive. Pour un client VPN qui embarque une bibliothèque cryptographique, ce délai est beaucoup moins confortable.

Un utilisateur doit-il vraiment lire les blogs Sophos pour savoir que son client VPN devrait être mis à jour ? Chaque petit administrateur IT doit-il s’abonner au flux communautaire et espérer ne pas manquer ce type de version ? Pour un outil qui touche directement à l’accès distant, aux certificats, à l’authentification et au chiffrement, ce n’est pas suffisant.

Un client VPN est une infrastructure de sécurité. Une mise à jour importante du client ne devrait donc pas exister uniquement sous forme de billet de blog.

Ce que change Sophos Connect 2.5 MR1

Sophos a annoncé Sophos Connect Client 2.5 MR1 pour Windows le 18 juin 2026. Selon Sophos, il s’agit d’une version de maintenance qui corrige plusieurs problèmes signalés par la communauté.

Le changement technique le plus important est clairement nommé :

  • OpenSSL a été mis à jour en version 3.3.7.

La phrase paraît petite. En exploitation, elle ne l’est pas. Plus de deux mois se sont écoulés entre la publication d’OpenSSL le 7 avril et la version Sophos Connect du 18 juin. On peut comprendre que Sophos doive analyser, intégrer, tester et empaqueter la bibliothèque. Mais c’est justement pour cela qu’un client de sécurité a besoin de transparence : les administrateurs ne devraient pas devoir déduire d’un billet de blog qu’un composant client attend depuis des semaines une version de correction de sécurité.

Sophos mentionne aussi plusieurs corrections Sophos Connect :

  • Le client ne démarrait pas automatiquement pour des utilisateurs Windows supplémentaires lorsqu’il avait été installé par un autre utilisateur.
  • Les utilisateurs SSO pouvaient voir un état VPN incorrect après une interruption Internet.
  • Les utilisateurs avec identifiants et OTP recevaient des demandes de vérification différentes lors de la reconnexion selon que IPsec ou SSL VPN était utilisé.
  • Les utilisateurs SSO ne pouvaient pas établir une connexion SSL VPN à partir d’un fichier de provisioning lorsque les certificats contenaient des caractères spéciaux.

Ce ne sont pas des détails cosmétiques. Ce sont des sujets typiques d’accès distant : démarrage, affichage d’état, SSO, OTP, provisioning et certificats. Exactement les zones où support, administrateurs et utilisateurs perdent vite la visibilité quand quelque chose n’est pas propre.

Malgré cela, OpenSSL 3.3.7 est le point qui rend cette version particulièrement importante à mes yeux.

Pourquoi OpenSSL 3.3.7 est important

OpenSSL 3.3.7 a été publié le 7 avril 2026 comme version de correction de sécurité. OpenSSL classe le problème le plus grave corrigé comme Moderate. Cela ne semble pas dramatique, mais ce n’est pas non plus une simple correction de bug.

OpenSSL 3.3.7 corrige notamment :

  • CVE-2026-31790 : une mauvaise gestion d’erreur dans RSA KEM RSASVE Encapsulation, qui pourrait dans certaines conditions envoyer du contenu mémoire non initialisé à un pair malveillant.
  • CVE-2026-28387 : un possible use-after-free dans le code client DANE.
  • CVE-2026-28388 : une possible déréférence NULL lors du traitement d’une delta-CRL.
  • CVE-2026-28389 et CVE-2026-28390 : de possibles déréférences NULL lors du traitement de certaines structures CMS EnvelopedData.
  • CVE-2026-31789 : un dépassement de tampon heap lors d’une conversion hexadécimale sur plateformes 32 bits.

Toutes ces vulnérabilités ne sont pas automatiquement exploitables dans Sophos Connect. C’est important. Il ne faut pas conclure aveuglément, à partir d’une liste de CVE OpenSSL, que chaque client est immédiatement compromettant dans chaque scénario.

Mais l’inverse serait tout aussi faux : “Moderate” ou “Low” ne veut pas dire “sans importance”.

OpenSSL est un composant de base. Il intervient dans TLS, la vérification de certificats, les opérations cryptographiques et de nombreux programmes qui établissent des connexions sécurisées. Si un client VPN embarque cette bibliothèque, son entretien fait partie du modèle de sécurité du client. Surtout quand ce client tourne sur des notebooks utilisés en déplacement, sur des réseaux tiers, puis connectés à des environnements internes.

Pourquoi SSL VPN reste pertinent ici

Un autre point me dérange depuis longtemps dans Sophos Connect : le client embarque OpenSSL pour SSL VPN, que le client utilise réellement SSL VPN ou non.

Beaucoup d’environnements se tournent davantage vers IPsec. Les raisons sont nombreuses : souvent de meilleures performances, une intégration plus claire dans les conceptions VPN existantes et surtout une distribution plus simple via logiciels de déploiement, RMM, Intune ou autres outils de gestion d’endpoints. Dans une entreprise, on ne veut pas que les utilisateurs téléchargent manuellement des installateurs VPN depuis un portail. On veut un paquet, une version, une fenêtre de déploiement et un inventaire propre.

Si un client utilise Sophos Connect uniquement pour IPsec, OpenSSL pour SSL VPN fait tout de même partie du client installé. Cela ne signifie pas automatiquement que chaque faille OpenSSL est exploitable en pratique dans cet environnement. Mais cela signifie que la bibliothèque est présente, qu’elle doit être maintenue, qu’elle apparaît dans les inventaires et les scans de vulnérabilités, et qu’elle crée du travail de patch.

C’est exactement pour cela que la logique de mise à jour est si importante. Si un produit installe des composants que tous les clients n’utilisent pas activement, le fabricant a une responsabilité particulière : les maintenir rapidement et visiblement. Sinon, on obtient le problème d’entreprise classique : une fonction existe techniquement, n’est pas utilisée métier, mais doit quand même être corrigée et expliquée.

Pourquoi une version dédiée a du sens

Je trouve juste que Sophos publie une version de maintenance pour cela.

Un client VPN n’est pas une application de bureau comme une autre. Il fait partie du contrôle d’accès. Si ce client utilise des bibliothèques cryptographiques obsolètes, il existe un risque opérationnel, même si l’exploitabilité concrète doit être évaluée au cas par cas.

Pour les composants de sécurité, trois choses comptent :

  • Maintenance des composants : les bibliothèques tierces doivent être mises à jour rapidement.
  • Traçabilité : les administrateurs doivent voir quelle version est déployée.
  • Distribution : le patch doit arriver de manière fiable sur les endpoints.

Le premier point est rempli : Sophos met OpenSSL à jour. Le deuxième l’est partiellement : les notes de version et le blog nomment la version. Le troisième point est le plus intéressant.

Sophos écrit que l’installateur client actuel est distribué aux pare-feux SFOS via un paquet Up2Date, puis téléchargeable depuis WebAdmin ou le portail VPN. C’est utile, car le pare-feu devient le point de référence local pour l’installateur.

Mais ce n’est pas la même chose qu’un processus d’auto-update propre et visible sur chaque endpoint Windows.

Si un utilisateur a installé le client un jour et ne le met plus jamais activement à jour, la disponibilité de l’installateur côté pare-feu n’est que la moitié du chemin. Quelqu’un doit encore déclencher, surveiller et terminer le déploiement.

Le vrai reproche : la visibilité

Ma critique vise donc moins la version elle-même. Cette version a du sens.

Elle vise la visibilité et les attentes.

Un outil de sécurité moderne devrait, à mon avis, proposer au moins l’une de ces possibilités :

  • une notification claire de mise à jour dans le client,
  • une vue centrale dans Sophos Central ou sur le pare-feu montrant les versions client obsolètes,
  • un mécanisme d’auto-update officiel et bien documenté,
  • ou au minimum une alerte administrateur lorsqu’une version client pertinente pour la sécurité est dépassée.

Ce que je préférerais pour Sophos Connect, c’est un mécanisme d’auto-update optionnel et contrôlable. Pas silencieux, pas incontrôlé, pas contre les règles de l’entreprise. Mais assez clair pour qu’un administrateur puisse décider : les mises à jour client pertinentes pour la sécurité peuvent être déployées automatiquement ou semi-automatiquement dans des groupes définis.

Certaines organisations ont déjà des chemins via GPO, RMM, Intune ou déploiement logiciel. Bien sûr. Les bons administrateurs peuvent le résoudre. Mais cela ne change pas le sujet produit : pour des clients d’accès distant, la communication de mise à jour ne devrait pas être laissée au hasard.

Sophos sait très bien à quel point l’automatisation des mises à jour est importante. Les pare-feux ont des pattern updates, des hotfixes, des avis firmware et une visibilité Central. Pour les produits endpoint, les mises à jour automatiques sont attendues. Pourquoi le client VPN paraît-il encore si manuel à certains endroits ?

Ce n’est pas un problème de luxe. C’est exactement l’endroit où de petites failles restent longtemps.

Ce que les administrateurs devraient faire maintenant

La conséquence pratique est assez claire.

D’abord : vérifiez si votre Sophos Firewall a déjà reçu le nouvel installateur Sophos Connect. Sophos indique que l’installateur est distribué aux pare-feux SFOS via Up2Date puis disponible dans WebAdmin ou le portail VPN.

Ensuite : vérifiez les versions Sophos Connect installées sur les clients Windows. Si vous n’avez pas d’inventaire central, c’est le vrai point douloureux. Il vous faut au moins une vue via RMM, Intune, GPO, gestion endpoint ou script.

Troisièmement : ne testez pas le nouveau client uniquement avec un utilisateur standard. Testez les scénarios réels :

  • SSL VPN avec nom d’utilisateur, mot de passe et MFA
  • IPsec avec OTP, si utilisé
  • Microsoft Entra ID SSO
  • fichiers de provisioning
  • certificats avec caractères spéciaux dans le nom ou les champs pertinents
  • reconnexion après interruption Internet
  • plusieurs utilisateurs Windows sur le même appareil, si cela existe chez vous

Si vous utilisez exclusivement IPsec, je n’ignorerais pas l’update pour autant. Vérifiez surtout que le client démarre proprement au quotidien, que les profils sont distribués comme prévu et que votre inventaire reconnaît correctement la nouvelle version. OpenSSL n’est peut-être pas la voie VPN activement utilisée, mais la bibliothèque reste partie du client installé.

Quatrièmement : déployez la mise à jour de manière planifiée. Pas dans la panique, mais pas “un jour” non plus. OpenSSL 3.3.7 est une version de correction de sécurité. Un client VPN avec OpenSSL n’est pas un sujet à repousser au prochain remplacement de notebook.

Cinquièmement : communiquez simplement. Les utilisateurs n’ont pas besoin de comprendre RSASVE, DANE ou CMS KeyAgreeRecipientInfo. Ils doivent savoir que le client VPN est mis à jour, que les connexions doivent être testées ensuite et où signaler les problèmes SSO, OTP ou provisioning.

Ce que Sophos devrait améliorer

J’aimerais trois choses dans Sophos Connect.

Premièrement : une information de mise à jour claire dans le client. Lorsqu’une nouvelle version pertinente pour la sécurité est disponible, l’utilisateur ou au moins l’administrateur local devrait le voir. Mieux encore : un chemin d’auto-update contrôlable pour les environnements qui l’autorisent volontairement.

Deuxièmement : une vue d’administration centrale. Sophos Central ou le pare-feu devrait montrer quelles versions Sophos Connect sont connues dans l’environnement et lesquelles sont obsolètes. Si le client n’est pas géré centralement, Sophos devrait au moins recommander clairement inventaire et déploiement.

Troisièmement : une meilleure communication de version. Un billet de communauté est acceptable comme annonce. Mais pour des composants client pertinents pour la sécurité, “lire le blog et télécharger l’installateur” n’est pas un modèle d’exploitation, surtout quand la version OpenSSL sous-jacente est disponible depuis avril.

Je ne veux pas dénigrer Sophos ici. Au contraire : mettre OpenSSL à jour est positif. Nommer la version dans les notes de version est positif. Distribuer l’installateur via le pare-feu est pratique.

Mais en 2026, un éditeur de sécurité devrait faire plus pour les clients d’accès distant.

Ma conclusion

Sophos Connect 2.5 MR1 n’est pas une version spectaculaire. C’est précisément pour cela qu’elle est intéressante.

Elle montre à quoi ressemble vraiment l’exploitation sécurité : pas seulement de grandes nouveautés, mais de la maintenance de composants, de petites corrections client, des détails de certificats, du comportement SSO, des reconnexions OTP et la question de savoir si une mise à jour arrive réellement sur chaque endpoint.

OpenSSL 3.3.7 est une version de correction de sécurité. Sophos a raison de l’intégrer dans Sophos Connect. Les administrateurs ont raison de ne pas ignorer la mise à jour. Mais le délai d’avril à juin est assez long pour poser la question de la vitesse et de la visibilité.

Le point d’architecture reste aussi : Sophos Connect installe des composants SSL VPN avec OpenSSL même lorsqu’un environnement utilise principalement ou exclusivement IPsec. Cela peut être cohérent techniquement, car Sophos fournit un client combiné. Opérationnellement, cela crée une responsabilité supplémentaire. Ce qui est installé doit aussi être mis à jour de manière fiable.

Sophos devrait donc accepter la question inconfortable : pourquoi un administrateur doit-il suivre activement un billet de blog pour remarquer une telle mise à jour de client VPN ?

Pour un outil de sécurité qui protège l’accès au réseau interne, ce n’est pas suffisant.

À la prochaine,
Joe

FAQ

Quoi de neuf dans Sophos Connect 2.5 MR1 pour Windows ?
Sophos Connect 2.5 MR1 met OpenSSL à jour en version 3.3.7 et corrige plusieurs problèmes signalés autour de l’auto-start, de l’état SSO, de la reconnexion OTP et du provisioning SSL VPN avec certificats.
Pourquoi OpenSSL 3.3.7 est-il important ?
OpenSSL 3.3.7 est une version de correction de sécurité du 7 avril 2026. Elle corrige plusieurs vulnérabilités, dont un problème modéré dans RSA KEM RSASVE Encapsulation et des problèmes de moindre gravité dans DANE, CRL et CMS. Sophos Connect 2.5 MR1 est arrivé le 18 juin 2026, environ dix semaines plus tard.
Les utilisateurs doivent-ils mettre Sophos Connect à jour eux-mêmes ?
Cela dépend du modèle d’exploitation. Sophos fournit l’installateur via le pare-feu ou le téléchargement direct. Dans les environnements gérés, les administrateurs devraient déployer la mise à jour centralement au lieu de compter sur les utilisateurs.
OpenSSL est-il pertinent si nous utilisons seulement IPsec ?
Oui, au moins sur le plan opérationnel. Si Sophos Connect installe OpenSSL pour SSL VPN, la bibliothèque fait partie du client installé même si l’environnement utilise surtout IPsec. Cela ne prouve pas une exploitabilité pratique, mais cela implique patch, inventaire et explication.
Sources

Articles liés

Sophos vs WatchGuard : comparatif firewall 2026

Sophos vs WatchGuard : comparatif firewall 2026

Sophos vs Cisco Meraki : comparatif firewall

Sophos vs Cisco Meraki : comparatif firewall

Sophos vs Check Point 2026 : comparaison firewall de terrain

Sophos vs Check Point 2026 : comparaison firewall de terrain

Rechercher