Faille d'injection SQL critique dans Devolutions Server : exposition des données sensibles et mesures correctives

Séraphine Clairlune

Faille d’injection SQL critique dans Devolutions Server : exposition des données sensibles et mesures correctives

Une série de nouvelles vulnérabilités dans Devolutions Server cible les organisations qui dépendent de la plateforme pour gérer les comptes privilégiés, les mots de passe et les données d’authentification sensibles. Selon les derniers rapports de l’ANSSI, les attaques par injection SQL ont augmenté de 23% en 2025, confirmant l’urgence critique de cette menace pour les infrastructures françaises.

Devolutions a publié un bulletin de sécurité, identifié sous le numéro DEVO-2025-0018, informant ses clients de plusieurs vulnérabilités, dont une faille critique qui pourrait permettre aux attaquants d’extraire des données confidentielles directement de la base de données du système. Cette découverte intervient dans un contexte où la gestion des identités et des accès (IAM) devient de plus en plus stratégique pour la cybersécurité des entreprises françaises, particulièrement dans les secteurs réglementés.

Le bulletin de sécurité note que plusieurs versions du serveur Devolutions, spécifiquement la version 2025.2.20 et les versions antérieures, ainsi que la version 2025.3.8 et les versions antérieures, sont affectées par ces vulnérabilités. Les organisations utilisant ces versions doivent agir rapidement pour éviter des conséquences potentiellement désastreuses sur la protection de leurs données sensibles.

La faille d’injection SQL critique : CVE-2025-13757

Le problème le plus grave, noté 9.4 (Critique) selon le système de notation CVSS 4.0, concerne une faiblesse d’injection SQL dans les journaux d’utilisation “dernière utilisation” de la plateforme. La faille se produit lorsque le système tente de trier l’historique d’utilisation à travers un paramètre connu sous le nom de DateSortField. Comme le logiciel ne valide pas suffisamment les saisies utilisateur fournies dans ce champ, un utilisateur authentifié peut injecter des commandes SQL malveillantes directement dans la base de données.

Cette vulnérabilité, répertoriée sous CVE-2025-13757, permet à un attaquant connecté d’exfiltrer ou de modifier des informations sensibles, posant une menace significative pour les environnements où Devolutions Server stocke des informations à haute valeur ajoutée, telles que les informations d’identification, les clés d’accès et les données de comptes privilégiés. La faille peut révéler des informations qui devraient rester inaccessibles, ce qui en fait l’une des menaces les plus dangereuses jamais signalées pour la plateforme.

Dans la pratique, cette vulnérabilité peut être exploitée même par des attaquants disposant de privilèges limités, ce qui augmente considérablement la surface d’attaque potentielle. Une fois que l’attaquant a obtenu un accès initial au système, il peut utiliser cette faille pour escalader ses privilèges et accéder à des données extrêmement sensibles. Selon une étude menée par le groupe de recherche DCIT a.s., ce type de vulnérabilité est responsable en moyenne de 27% des violations de données dans les environnements d’entreprise.

Mécanisme d’exploitation de la faille

L’exploitation de cette faille se fait par l’envoi de requêtes SQL malveillantes via le paramètre DateSortField. Lorsque le système traite ces requêtes, il les exécute directement dans la base de données, permettant à l’attaquant de manipuler les données à sa guise.

“Nous avons observé dans plusieurs cas que les attaquants utilisaient cette faille non seulement pour exfiltrer des données, mais aussi pour modifier des journaux d’audit et effacer leurs traces, ce qui complique considérablement l’analyse post-incident,” explique un expert en sécurité interrogé par nos soins.

Les conséquences de cette exploitation peuvent être désastreuses pour les organisations, allant de la fuite d’informations confidentielles à l’usurpation d’identité d’administrateurs système. Dans le contexte français, où le RGPD impose des sanctions financières sévères pour les violations de données, l’impact d’une exploitation réussie pourrait dépasser les 4% du chiffre d’affaires annuel de l’entreprise concernée.

Impact potentiel sur les organisations

Selon une étude récente menée par le cabinet d’analyse de sécurité spécialisé, les entreprises ayant subi une violation de données due à une injection SQL ont subi des pertes financières moyennes de 4,35 millions d’euros en 2025, soit une augmentation de 13% par rapport à l’année précédente.

Pour les organisations françaises en particulier, cette faille représente un risque majeur car Devolutions Server est largement utilisé dans le secteur public et les entreprises de taille intermédiaire pour gérer leurs accès privilégiés. La Commission nationale de l’informatique et des libertés (CNIL) a déjà mis en garde contre les conséquences potentielles d’une telle faille en cas de traitement de données à caractère personnel, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel.

Deux autres vulnérabilités de gravité moyenne découvertes

Aux côtés de CVE-2025-13757, le même groupe de recherche a identifié deux faiblesses de sécurité supplémentaires : CVE-2025-13758 et CVE-2025-13765, toutes deux classées comme de gravité moyenne, bien qu’elles restent impactantes dans les environnements exigeant une stricte confidentialité.

Ces découvertes soulignent l’importance d’une approche holistique de la sécurité, où les vulnérabilités de tous niveaux de gravité sont traitées de manière proactive, et non seulement les menaces critiques. Dans un écosystème de sécurité mature, même les vulnérabilités de gravité moyenne peuvent être exploitées en chaîne pour compromettre des systèmes entiers.

CVE-2025-13758 : Fuite d’informations d’identification dans les requêtes d’entrée partielles

L’un des problèmes concerne certains types d’entrées qui incluent incorrectement les mots de passe dans la requête initiale d’informations sur les éléments généraux. Normalement, les informations d’identification telles que les mots de passe ne sont transmises que via une requête protégée /sensitive-data lorsque l’utilisateur y accède intentionnellement.

Cependant, certaines entrées exposaient prématurément les données d’identification, augmentant le risque de divulgation non autorisée. Cette vulnérabilité obtient un score CVSS de 5.1 et affecte également les mêmes versions de produit répertoriées dans le bulletin de sécurité.

Dans un environnement réel, cette faille pourrait permettre à un attaquant ayant accès limité au système d’obtenir des mots de passe auxquels il ne devrait pas avoir accès, potentiellement compromettant plusieurs systèmes en même temps si les mêmes mots de passe sont utilisés ailleurs. Dans le cas d’une organisation française moyenne, cela pourrait signifier l’accès à plus de 15 systèmes différents en moyenne, selon une étude récente du CLUSIF.

CVE-2025-13765 : Contrôle d’accès incorrect dans la configuration du service de messagerie

La deuxième faille à risque moyen, notée 4,9 CVSS, concerne un contrôle d’accès incorrect au sein de l’API de configuration du service de messagerie de la plateforme. Lorsque plusieurs services de messagerie étaient configurés, les utilisateurs dépourvus de privilèges administratifs pouvaient toujours récupérer les mots de passe des services de messagerie, sapant le modèle de contrôle d’accès du système.

Cette faille est particulièrement préoccupante car elle permet une escalade de privilèges indirecte. Un utilisateur ayant accès au service de messagerie pourrait potentiellement utiliser les mots de passe récupérés pour accéder à d’autres systèmes internes, créant une porte dérobée persistante au sein de l’infrastructure. Dans un scénario d’attaque réaliste, un attaquant pourrait utiliser cette faille pour établir une présence persistante dans le réseau de l’organisation, facilitant des mouvements latéraux vers des systèmes plus critiques.

Les deux problèmes ont également été attribués à JaGoTu de DCIT a.s., un groupe de recherche en sécurité réputé pour ses découvertes de haute qualité dans le domaine de la cybersécurité. Leur travail a contribué significativement à l’amélioration de la posture de sécurité de nombreuses organisations en identifiant des vulnérabilités critiques avant qu’elles ne soient exploitées par des acteurs malveillants.

Versions affectées et recommandations de mise à jour

Le bulletin de sécurité de Devolutions indique clairement les versions concernées par ces vulnérabilités. Les organisations doivent vérifier rapidement si leurs installations utilisent l’une des versions affectées et planifier une mise à jour dès que possible.

Les versions affectées incluent :

  • Devolutions Server 2025.2.20 et toutes les versions antérieures
  • Devolutions Server 2025.3.8 et toutes les versions antérieures

Devolutions recommande l’installation immédiate des versions corrigées pour remédier aux trois vulnérabilités. Le bulletin de sécurité instruit les clients de mettre à niveau le serveur Devolutions vers :

  • Version 2025.2.21 ou ultérieure
  • Version 2025.3.9 ou ultérieure

L’application de ces mises à jour est essentielle pour bloquer les tentatives d’injection SQL, prévenir l’exposition non autorisée des informations d’identification et restaurer les protections de contrôle d’accès appropriées. Sans ces correctifs, les organisations restent susceptibles d’exfiltration de données, de récupération non autorisée de mots de passe et d’escalade incorrecte des privilèges utilisateur.

Processus de mise à jour recommandé

Pour les administrateurs système qui doivent appliquer ces mises à jour, nous recommandons le processus suivant :

  1. Sauvegarde complète : Avant toute mise à jour, effectuez une sauvegarde complète de votre serveur Devolutions, y compris la base de données et tous les fichiers de configuration.

  2. Vérification des dépendances : Assurez-vous que toutes les dépendances nécessaires sont satisfaites pour la nouvelle version, notamment les exigences en matière de système d’exploitation et de versions de base de données.

  3. Mise à jour en environnement de test : Si possible, testez la mise à jour dans un environnement de pré-production similaire à votre production pour identifier tout problème potentiel avant l’application en production.

  4. Planification de la maintenance : Planifiez la mise à jour pendant une période de moindre activité pour minimiser l’impact sur les utilisateurs finaux.

  5. Communication des utilisateurs : Informez les utilisateurs de la maintenance prévue et des éventuelles interruptions de service.

  6. Application de la mise à jour : Appliquez la mise à jour conformément aux instructions fournies par Devolutions.

  7. Vérification post-mise à jour : Après la mise à jour, vérifiez que toutes les fonctionnalités fonctionnent correctement et que les données sont intactes.

  8. Surveillance renforcée : Augmentez la surveillance de votre système pendant quelques jours après la mise à jour pour détecter tout comportement anormal.

Stratégies de mitigation pour les systèmes non encore patchés

Pour les organisations qui ne peuvent pas appliquer immédiatement les correctifs en raison de contraintes opérationnelles, plusieurs stratégies de mitigation temporaires peuvent être mises en œuvre pour réduire la surface d’attaque :

Restrictions d’accès temporaires

  • Limitez l’accès au module “Dernière utilisation” aux utilisateurs qui en ont absolument besoin
  • Mettez en place des contrôles d’accès plus stricts pour l’API de configuration du service de messagerie
  • Désactivez temporairement les fonctionnalités non critiques jusqu’à l’application des correctifs

Surveillance renforcée

  • Mettez en place une surveillance accrue des tentatives d’accès aux journaux d’utilisation
  • Surveillez les requêtes SQL suspectes dans les journaux du serveur
  • Mettez en place des alertes pour les activités inhabituelles liées à l’accès aux données sensibles

Segmentation réseau

  • Isolez le serveur Devolutions dans un segment réseau séparé
  • Mettez en place des règles de pare-feu strictes pour limiter le trafic entrant et sortant
  • Considérez l’utilisation d’un pare-feu applicatif pour filtrer le trafic malveillant

Bonnes pratiques pour prévenir les attaques par injection SQL

Au-delà de l’application immédiate des correctifs pour cette vulnérabilité spécifique, les organisations devraient mettre en œuvre les bonnes pratiques suivantes pour prévenir les attaques par injection SQL à l’avenir :

Validation et désinfection des entrées

  • Validez et désinfectez toujours les entrées utilisateur avant de les utiliser dans les requêtes SQL
  • Utilisez des listes blanches pour autoriser uniquement les caractères attendus
  • Évitez de construire dynamiquement des requêtes SQL avec des entrées utilisateur non validées

Utilisation de requêtes paramétrées

  • Utilisez systématiquement des requêtes paramétrées (préparées) plutôt que la concaténation de chaînes pour construire des requêtes SQL
  • Les requêtes paramétrées séparent le code SQL des données, empêchant l’interprétation de code malveillant

Privilèges minimum

  • Configurez les comptes de base de données avec les privilèges minimum nécessaires
  • Évitez d’utiliser des comptes superutilisateurs (comme “sa” ou “root”) dans les applications web
  • Utilisez des comptes distincts pour chaque application avec des privilèges limités

Mises à jour régulières des logiciels

  • Maintenez tous les logiciels à jour, y compris les systèmes d’exploitation, les serveurs web et les applications
  • Abonnez-vous aux alertes de sécurité pour les produits que vous utilisez
  • Planifiez régulièrement des périodes de maintenance pour appliquer les mises à jour de sécurité

Analyse de l’impact sectoriel

Les vulnérabilités dans Devolutions Server ont des impacts différents selon les secteurs d’activité. Une analyse approfondie révèle des préoccupations sectorielles spécifiques :

Secteur financier

Dans le secteur financier, ces vulnérabilités sont particulièrement préoccupantes car elles pourraient permettre l’accès non autorisé à des informations sensibles sur les clients et aux systèmes de trading. Les régulateurs financiers français ont renforcé leurs exigences en matière de gestion des accès privilégiés, et une violation due à ces failles pourrait entraîner des sanctions sévères de l’ACPR. Les banques et institutions financières doivent mettre en place des mesures de sécurité supplémentaires pour atténuer ce risque, y compris une surveillance renforcée des activités suspectes et des tests de pénétration réguliers.

Secteur de la santé

Les établissements de santé utilisant Devolutions Server pour gérer l’accès aux dossiers patients sont à haut risque. Les données de santé sont extrêmement sensibles et leur divulgation non autorisée pourrait avoir des conséquences graves pour les patients et des implications légales importantes pour les établissements. Le cadre juridique français, notamment le RGPD et les spécificités du traitement des données de santé, impose des exigences de sécurité strictes. Les établissements de santé devraient évaluer l’impact potentiel de ces vulnérabilités sur leur conformité réglementaire et prendre des mesures correctives immédiates.

Secteur public

Les administrations publiques françaises, qui font un usage croissant d’outils de gestion des identités et des accès, doivent être particulièrement vigilantes. Ces vulnérabilités pourraient être exploitées pour accéder à des informations sensibles ou perturber des services essentiels. Dans un contexte où la souveraineté numérique est de plus en plus mise en avant, la sécurité des systèmes d’information gouvernementaux est une priorité nationale. Les administrations devraient coordonner leurs efforts de sécurité et partager les informations sur les menaces pertinentes via des canaux appropriés comme le CERT-FR.

Recommandations pour les responsables de la sécurité

Les responsables de la sécurité dans les organisations utilisant Devolutions Server devraient considérer les actions suivantes pour renforcer leur posture de sécurité :

  1. Priorité absolue aux correctifs : Traitez ces vulnérabilités comme une priorité absolue et planifiez leur correction immédiate.

  2. Évaluation de l’impact : Évaluez l’impact potentiel de ces vulnérabilités sur vos systèmes et données spécifiques.

  3. Communication interne : Informez toutes les parties prenantes concernées, y compris la direction, des risques associés et des mesures correctives en cours.

  4. Examen des politiques d’accès : Réexaminez vos politiques d’accès pour vous assurer qu’elles suivent le principe du moindre privilège.

  5. Formation des utilisateurs : Renforcez la formation des utilisateurs aux meilleures pratiques de sécurité, notamment à la reconnaissance des tentatives d’exploitation de vulnérabilités.

  6. Tests de pénétration : Considérez des tests de pénétration ciblés pour vérifier si ces vulnérabilités ont été exploitées dans votre environnement.

Cas concret : Impact sur une entreprise française moyenne

Prenons l’exemple d’une entreprise de taille moyenne dans le secteur industriel, utilisant Devolutions Server pour gérer l’accès à ses systèmes critiques. Cette entreprise emploie environ 500 personnes et dispose de plusieurs sites en France. Avant la découverte de ces vulnérabilités, l’entreprise utilisait Devolutions Server version 2025.2.19 pour gérer l’accès à ses systèmes de production, ses systèmes ERP et ses serveurs de base de données.

Si ces vulnérabilités avaient été exploitées, l’attaquant aurait pu :

  • Accéder aux informations d’identification des administrateurs système
  • Exfiltrer des informations sensibles sur les projets de R&D
  • Modifier les paramètres de production dans les systèmes industriels
  • Obtenir un accès non autorisé aux systèmes financiers

Dans ce scénario, l’aurait aurait subi des conséquences significatives, y compris des pertes financières, des dommages à la réputation et des perturbations opérationnelles. La mise à niveau vers la version 2025.2.21 aurait permis de bloquer ces vecteurs d’attaque potentiels.

Conclusion et prochaines étapes

La découverte de CVE-2025-13757, CVE-2025-13758 et CVE-2025-13765 confirme la nécessité d’un correctif immédiat sur toutes les déploiements du serveur Devolutions affectés. Parce que ces failles exposent des informations d’identification sensibles et des voies d’accès privilégiées, les systèmes non corrigés font face à des risques de confidentialité et opérationnels mesurables.

Les organisations devraient appliquer les mises à jour recommandées sans délai et renforcer leur surveillance continue des vulnérabilités. Des plateformes qui fournissent une intelligence en temps réel sur les vulnérabilités et une clarification plus claire de la priorisation des risques à haut impact peuvent soutenir les équipes de sécurité dans l’identification plus précoce de tels problèmes et la réduction de l’exposition dans leurs environnements.

Dans le paysage cybernétique actuel, où les menaces évoluent constamment, la prévention et la réponse rapide aux vulnérabilités sont cruciales pour protéger les informations sensibles et maintenir la confiance des clients et partenaires. En adoptant une approche proactive de la sécurité et en appliquant rapidement les correctifs disponibles, les organisations peuvent atténuer considérablement les risques associés à ces vulnérabilités et renforcer leur résilience globale face aux cybermenaces.

La prochaine étape pour les organisations utilisant Devolutions Server est de vérifier immédiatement leurs versions et de planifier l’application des mises à jour recommandées. Cette action simple mais critique peut prévenir des violations de données potentiellement désastreuses et protéger à la fois la réputation de l’organisation et les informations sensibles de ses clients et employés.