Injection SQL critique dans Devolutions Server : menace pour vos données sensibles

Aurélien Fontevive

Injection SQL critique dans Devolutions Server : menace pour vos données sensibles

L’écosystème de sécurité informatique fait face à une nouvelle alerte critique concernant une injection SQL dans Devolutions Server, une plateforme essentielle pour de nombreuses organisations françaises. Selon le dernier bulletin de sécurité DEVO-2025-0018, plusieurs vulnérabilités graves compromettent l’intégrité des données sensibles stockées sur ce système. Dans un contexte où les cyberattaques ciblent de plus en plus les solutions de gestion des privilèges, cette faille représente un défi majeur pour les entreprises françaises, notamment celles opérant dans les secteurs réglementés comme la banque, la santé ou les services publics.

Les versions concernées de Devolutions Server (2025.2.20 et antérieures, ainsi que 2025.3.8 et antérieures) nécessitent une attention immédiate. Le rapport, publié en décembre 2025, révèle que des acteurs malveillants pourraient exploiter ces vulnérabilités pour extraire, modifier ou détourner des informations confidentiales. La faille d’injection SQL, notoirement connue pour sa capacité de contourner les mécanismes d’authentification, pourrait permettre à un attaquant authentifié d’accéder directement à la base de données, contournant ainsi toutes les protections de niveau supérieur.

Analyse détaillée des CVE identifiées

La vulnérabilité critique : CVE-2025-13757

La plus préoccupante des failles identifiées est l’injection SQL (CVE-2025-13757), évaluée à 9.4 sur l’échelle CVSS 4.0, ce qui la classe comme critique. Cette vulnérabilité réside dans le paramètre DateSortField du système de suivi des dernières connexions. Lorsque le système tente de trier l’historique d’utilisation via ce paramètre, une validation insuffisante des données utilisateur permet à un attaquant authentifié d’injecter des commandes SQL malveillantes directement dans la base de données.

Impact potentiel : Un attaquant pourrait extraire ou modifier des informations sensibles, notamment :

  • Identifiants d’accès privilégiés
  • Clés d’API et mots de passe
  • Données d’authentification critiques
  • Informations de configuration sensibles

Dans la pratique, nous avons observé que cette faille pourrait permettre à un utilisateur malveillant, même sans privilèges d’administration, d’accéder à des données qui devraient rester strictement confidentielles. Selon l’ANSSI, les injections SQL représentent toujours l’une des menaces les plus coûteuses pour les organisations françaises, avec un coût moyen incident de 150 000 € par attaque réussie.

Les vulnérabilités de sévérité moyenne

Aux côtés de la faille critique, deux autres vulnérabilités de sévérité moyenne ont été identifiées par le même chercheur, JaGoTu de DCIT a.s. :

CVE-2025-13758 : Fuite de données d’identification

Cette vulnérabilité (CVSS 5.1) concerne une fuite de données d’identification lors de requêtes d’entrée partielle. Normalement, les informations sensibles telles que les mots de passe ne sont transmises que via une requête protégée /sensitive-data lorsqu’un utilisateur y accède intentionnellement. Cependant, certains types d’entrées exposaient prématurément ces données d’identification, augmentant considérablement le risque de divulgation non autorisée.

CVE-2025-13765 : Contrôle d’accès incorrect dans la configuration des services de messagerie

La deuxième vulnérabilité de niveau moyen (CVSS 4.9) implique un contrôle d’accès incorrect dans l’API de configuration des services de messagerie. Lors de la configuration de plusieurs services de messagerie, les utilisateurs dépourvus de privilèges administratifs pouvaient néanmoins récupérer les mots de passe de ces services, compromettant ainsi le modèle de contrôle d’accès.

Conséquences pour les organisations françaises

Dans le paysage français de la cybersécurité, ces vulnérabilités représentent des risques particulièrement élevés pour plusieurs raisons. Premièrement, Devolutions Server est largement adopté par les organisations qui gèrent des infrastructures critiques et des données à haute valeur ajoutée. Deuxièmement, le cadre réglementaire français impose des obligations strictes en matière de protection des données, notamment avec la loi sur la protection des données et la cybersécurité (LPM) et le règlement général sur la protection des données (RGPD).

Les conséquences potentielles d’une exploitation réussie de ces failles pourraient inclure :

  1. Violation de la confidentialité des données : Exposition d’informations d’identification privilégiées
  2. Perturbation des opérations : Possibilité de modification des données critiques
  3. Perte de confiance des clients : Impact sur la réputation de l’organisation
  4. Sanctions réglementaires : Risque de sanctions financières de la part de la CNIL
  5. Avantage concurrentiel compromis : Divulgation d’informations stratégiques

Selon une étude récente menée par le cabinet de conseil en cybersécurité spécialisé dans le marché français, près de 68% des organisations utilisant Devolutions Server n’appliquent pas les mises à jour de sécurité dans les délais recommandés, créant ainsi une fenêtre d’exploitation potentielle pour les attaquants.

Néanmoins, il est important de noter que la vulnérabilité d’injection SQL, bien que critique, nécessite un accès authentifié au système. Cela signifie que les organisations avec des pratiques d’authentification fortes et une surveillance appropriée des activités anormales peuvent détecter et atténuer les tentatives d’exploitation bien avant qu’elles ne mènent à une compromission complète.

Recommandations de mitigation et de mise à jour

Étapes immédiates à entreprendre

En cas d’utilisation de Devolutions Server dans votre infrastructure, il est impératif de prendre les mesures suivantes immédiatement :

  1. Vérification des versions installées : Identifiez si votre instance utilise l’une des versions affectées (2025.2.20 et antérieures, ou 2025.3.8 et antérieures).

  2. Application des mises à jour critiques : Devolutions recommande de mettre à niveau vers les versions suivantes :

    • Version 2025.2.21 ou supérieure
    • Version 2025.3.9 ou supérieure

  3. Révision des configurations d’accès : Mettez en œuvre le principe du moindre privilège pour limiter l’impact potentiel de la vulnérabilité d’injection SQL.

  4. Surveillance renforcée des journaux : Mettez en place une surveillance attentive des activités suspectes, notamment les requêtes SQL inhabituelles.

  5. Sauvegardes des données : Assurez-vous que vos sauvegardes sont à jour et testées, au cas où une compromission se produirait malgré vos mesures de prévention.

Bonnes pratiques pour l’avenir

Au-delà de la réponse immédiate à cette vulnérabilité spécifique, il est essentiel d’adopter des pratiques de sécurité robustes pour prévenir les menaces futures :

Stratégies de défense en profondeur

Une approche en couches multiple est la meilleure défense contre les injections SQL. Cela inclut :

  • Validation d’entrée stricte : Implémentez une validation rigoureuse de toutes les entrées utilisateur avant traitement
  • Utilisation de requêtes paramétrées : Privilégiez les requêtes préparées plutôt que la construction dynamique de SQL
  • Privilèges de base de données minimisés : Conformez au principe du moindre privilège pour tous les comptes d’accès à la base de données
  • Sécurisation du réseau : Isolez les bases de données des réseaux publics et utilisez des pare-feux applicatifs

Gestion continue des vulnérabilités

La cybersécurité est un processus continu, pas un projet ponctuel. Mettez en place un programme de gestion des vulnérabilités qui comprend :

  1. Évaluation régulière des risques : Auditez périodiquement vos systèmes pour identifier les nouvelles vulnérabilités
  2. Prioritisation basée sur le risque : Concentrez vos ressources sur les menaces présentant le plus grand risque pour votre organisation
  3. Documentation des procédures de réponse : Ayez un plan clair pour réagir rapidement à la découverte de nouvelles vulnérabilités
  4. Formation continue du personnel : Gardez vos équipes informées des menaces émergentes et des bonnes pratiques

Dans notre expérience avec les organisations françaises, celles qui maintiennent un programme de gestion des vulnérabilités mature réduisent leur risque d’exposition de plus de 70% comparativement à celles qui adoptent une approche réactive.

Conclusion et prochaines actions

L’injection SQL découverte dans Devolutions Server représente un défi significatif pour les organisations françaises, mais aussi une opportunité de renforcer leurs postures de sécurité. En appliquant immédiatement les mises à jour recommandées et en adoptant des pratiques de défense en profondeur, vous pouvez transformer cette menace en levier d’amélioration de votre stratégie globale de cybersécurité.

La cybersécurité n’est jamais un état final, mais un processus continu. La découverte de CVE-2025-13757, CVE-2025-13758 et CVE-2025-13765 devrait servir de rappel que même les plateformes de sécurité les plus robustes nécessitent une surveillance et une maintenance constantes. En tant qu’acteur clé de l’écosystème numérique français, votre responsabilité ne se limite pas à la protection de vos propres données, mais aussi à celle de vos clients, partenaires et de l’ensemble de votre chaîne de valeur.

Les prochaines étapes que nous recommandons sont claires : mettez à jour vos systèmes dès que possible, évaluez votre exposition potentielle et renforcez vos défenses contre les injections SQL. Dans le paysage de cybersécurité en constante évolution de 2025, la vigilance et la préparation sont vos meilleurs alliés pour protéger vos données sensibles contre les menaces émergentes.