5/5 - (2 votes)

La faille critique d’ownCloud exploitée.

Les pirates commencent à exploiter une faille critique d’ownCloud. Les pirates exploitent une vulnérabilité critique d’ownCloud, identifiée comme CVE-2023-49103, qui expose les mots de passe d’administrateur, les informations d’identification du serveur de messagerie et les clés de licence dans les déploiements conteneurisés. ownCloud est une solution open source de synchronisation et de partage de fichiers largement utilisée, conçue pour ceux qui souhaitent gérer et partager des données via une plateforme auto-hébergée.

Un bug critique dans l’application de partage de fichiers ownCloud expose les mots de passe administrateur. Le logiciel open source de partage de fichiers ownCloud met en garde contre trois vulnérabilités de sécurité de gravité critique, dont une qui peut exposer les mots de passe des administrateurs et les informations d’identification du serveur de messagerie. ownCloud est une solution open source de synchronisation et de partage de fichiers conçue pour les individus et les organisations souhaitant gérer et partager des fichiers via une plateforme auto-hébergée.

CVE-2023-49103, Un défaut de confidentialité des données dans graphapi d’ownCloud. Cette faille permet à un attaquant non authentifié, en envoyant des requêtes spécifiques, de porter atteinte à la confidentialité et à l’intégrité des données. De plus, phpinfo expose divers autres détails de configuration potentiellement sensibles qui pourraient être exploités par un attaquant pour collecter des informations sur le système. Par conséquent, même si ownCloud ne fonctionne pas dans un environnement conteneurisé, cette vulnérabilité devrait quand même être préoccupante. Notez que les conteneurs Docker d’avant février 2023 ne sont pas vulnérables à la divulgation des informations d’identification.


ownCloud a été fondée en 2010. Elle développe et fournit des logiciels open source pour la collaboration de contenu, permettant aux équipes de partager et de travailler facilement sur des fichiers de manière transparente, quel que soit l'appareil ou l'emplacement. Plus de 200 millions d’utilisateurs dans le monde utilisent déjà ownCloud comme alternative aux cloud publics – et optent ainsi pour davantage de souveraineté numérique, de sécurité et de protection des données. En 2023, travaillant principalement à distance, environ 75 employés d'ownCloud développent et prennent en charge le logiciel de collaboration de contenu open source leader du marché. Il permet à des groupes de personnes dans des entreprises (500), des écoles, des institutions et des gouvernements de partager et de travailler en toute transparence sur des fichiers, quel que soit l'appareil ou l'emplacement.


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.


De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation. L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique. L'intégrité physique concerne le matériel et les moyens mis en œuvre en matière de stockage, de sauvegarde et de récupération des données. L'intégrité logique se base sur la conservation des données relationnelles dans une base de données.


Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut