Attention, la messagerie de votre hébergeur est peut-être vulnérable

22 février 2024 à 12h32
0
Une faille XSS activement exploitée a été découverte dans le webmail Roundcube © Shutterstock
Une faille XSS activement exploitée a été découverte dans le webmail Roundcube © Shutterstock


L’Agence de cybersécurité et de sécurité des infrastructures américaine (CISA) a sonné l’alarme concernant le webmail Roundcube. En cause, une faille de sécurité activement exploitée. Un correctif a déjà été déployé.

La semaine dernière, la CISA a révélé la présence d’une vulnérabilité de sévérité moyenne affectant le client de messagerie Roundcube. Estampillée CVE-2023-43770, la faille s’est vu attribuer un score CVSS de 6.1. Pour rappel, CVSS, pour Common Vulnerability Scoring System, est un système de notation standardisé des vulnérabilités. Au-delà de 7, elles passent d’un niveau de sévérité « moyen » à « important ».

Une vulnérabilité XSS activement exploitée

Alors que Roundcube, service mail fourni par l'hébergeur web OVH, figure sur la liste des logiciels recommandés par l’État français dans l’administration, la CISA a alerté sur l’exploitation active d’une faille XSS persistante (cross-site scripting). Celle-ci permet aux hackers d’injecter du code malveillant avec la redirection de liens hypertextes contenus dans les messages (bruts et textes).

Heureusement, le patch de sécurité a déjà été déployé © Shutterstock
Heureusement, le patch de sécurité a déjà été déployé © Shutterstock

D’après la base de données nationale alimentée par le NIST, cette vulnérabilité, créditée à Niraj Shivtarkar, chercheur en sécurité chez Zscaler, concerne les versions de Roundcube antérieures à 1.4.14, mais aussi les versions 1.5.x antérieures à 1.5.4, et 1.6.x antérieures à 1.6.3. Un patch de sécurité a déjà été déployé par les responsables de Roundcube avec la version 1.6.3, déployée en septembre 2023. Les utilisateurs et utilisatrices du webmail sont donc invités à mettre à jour le logiciel dans les plus brefs délais.

Si l’on ne sait pas exactement comment et par qui la vulnérabilité est exploitée, le mode n’est pas sans rappeler les exploits pilotés par les groupes de pirates russes APT28 et Winter Vivern ayant déjà affecté les serveurs de Roundcube en octobre dernier. Les cyberattaques avaient alors visé plus de 80 organisations, principalement en Pologne, en Ukraine et en France, dans le but d’obtenir des renseignements sur les activités militaires et politiques européennes.

Nous utilisons tous au quotidien notre messagerie électronique pour gérer nos mails. Mais êtes-vous réellement satisfait de celle disponible sur votre ordinateur ? Pour vous aider à choisir celle qui vous convient le mieux, nous vous proposons une sélection de 10 logiciels de messagerie électronique. Tous considérés comme les plus populaires et les plus efficaces pour gérer vos mails.
Lire la suite

Source : CISA

Chloé Claessens

Je démonte, je remonte, je répare, je bidouille, j’expérimente, je détourne, je façonne, je recommence. Acharnée, rien ne m’électrise plus que de passer des heures à essayer de comprendre le pourquoi...

Lire d'autres articles

Je démonte, je remonte, je répare, je bidouille, j’expérimente, je détourne, je façonne, je recommence. Acharnée, rien ne m’électrise plus que de passer des heures à essayer de comprendre le pourquoi du comment, jusqu’à ce que ça fonctionne. Si je ne suis pas derrière mon écran à tester des softs ou à écrire sur la Silicon Valley, vous me trouverez au potager à configurer un circuit d’irrigation connecté, alimenté en énergie solaire.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (0)

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet