La faille critique d’ownCloud exploitée.

La faille critique d’ownCloud exploitée.

Les pirates commencent à exploiter une faille critique d’ownCloud. Les pirates exploitent une vulnérabilité critique d’ownCloud, identifiée comme CVE-2023-49103, qui expose les mots de passe d’administrateur, les informations d’identification du serveur de messagerie et les clés de licence dans les déploiements conteneurisés. ownCloud est une solution open source de synchronisation et de partage de fichiers largement utilisée, conçue pour ceux qui souhaitent gérer et partager des données via une plateforme auto-hébergée.

Un bug critique dans l’application de partage de fichiers ownCloud expose les mots de passe administrateur. Le logiciel open source de partage de fichiers ownCloud met en garde contre trois vulnérabilités de sécurité de gravité critique, dont une qui peut exposer les mots de passe des administrateurs et les informations d’identification du serveur de messagerie. ownCloud est une solution open source de synchronisation et de partage de fichiers conçue pour les individus et les organisations souhaitant gérer et partager des fichiers via une plateforme auto-hébergée.

CVE-2023-49103, Un défaut de confidentialité des données dans graphapi d’ownCloud. Cette faille permet à un attaquant non authentifié, en envoyant des requêtes spécifiques, de porter atteinte à la confidentialité et à l’intégrité des données. De plus, phpinfo expose divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour collecter des informations sur le système. Par conséquent, même si ownCloud ne fonctionne pas dans un environnement conteneurisé, cette vulnérabilité devrait quand même être préoccupante. Notez que les conteneurs Docker d’avant février 2023 ne sont pas vulnérables à la divulgation des informations d’identification.


ownCloud a été fondée en 2010. Elle développe et fournit des logiciels open source pour la collaboration de contenu, permettant aux équipes de partager et de travailler facilement sur des fichiers de manière transparente, quel que soit l'appareil ou l'emplacement. Plus de 200 millions d’utilisateurs dans le monde utilisent déjà ownCloud comme alternative aux cloud publics – et optent ainsi pour davantage de souveraineté numérique, de sécurité et de protection des données. En 2023, travaillant principalement à distance, environ 75 employés d'ownCloud développent et prennent en charge le logiciel de collaboration de contenu open source leader du marché. Il permet à des groupes de personnes dans des entreprises (500), des écoles, des institutions et des gouvernements de partager et de travailler en toute transparence sur des fichiers, quel que soit l'appareil ou l'emplacement.


La confidentialité en informatique est un principe fondamental qui garantit la protection des données personnelles des utilisateurs. Elle implique que les informations sensibles soient accessibles uniquement aux personnes autorisées. Avec la prolifération des plateformes en ligne et des appareils connectés, la préservation de la confidentialité devient cruciale.

Les technologies telles que le chiffrement des données et les pare-feu jouent un rôle essentiel dans cette protection. Cependant, des préoccupations persistent concernant la collecte excessive de données par les entreprises et les gouvernements, mettant en péril la vie privée des individus. Ainsi, il est impératif de mettre en place des réglementations strictes et des pratiques de sécurité robustes pour préserver la confidentialité des données dans le monde numérique.

La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données.

De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source


L'intégrité des données est une composante essentielle de la sécurité informatique. Elle garantit que les données sont exactes, complètes et fiables tout au long de leur cycle de vie. En assurant l'intégrité des données, les entreprises et les utilisateurs peuvent avoir confiance dans l'exactitude et la fiabilité des informations qu'ils manipulent.

L'intégrité physique concerne le matériel et les moyens mis en œuvre en matière de stockage, de sauvegarde et de récupération des données. L'intégrité logique se base sur la conservation des données relationnelles dans une base de données.

Pour maintenir l'intégrité des données, des mesures telles que le contrôle d'accès, la sauvegarde régulière, la vérification des données et l'utilisation de techniques de cryptage sont mises en œuvre. En négligeant l'intégrité des données, les risques de corruption, de perte ou de manipulation malveillante augmentent, compromettant ainsi la confiance et la crédibilité des systèmes informatiques.


Les cyberattaques sont des attaques malveillantes menées contre des systèmes informatiques, réseaux ou données, dans le but de causer des dommages, voler des informations ou perturber les opérations. Elles peuvent prendre différentes formes, telles que les virus, les logiciels malveillants, les attaques de phishing ou les attaques par déni de service (DDoS). Elles peuvent provenir aussi d'attaques par rançongiciels, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day.

Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.

Ces attaques peuvent avoir des conséquences dévastatrices, tant pour les individus que pour les entreprises ou les gouvernements, allant de la perte de données sensibles à la mise hors service de services essentiels. La protection contre les cyberattaques est devenue une priorité majeure pour tous ceux qui utilisent des technologies informatiques.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut