Le monde numérique des administrations publiques françaises est en alerte face à une nouvelle vulnérabilité critique affectant le CMS Drupal. Identifiée récemment, cette faille permet d’exploiter des sites sans authentification préalable, mettant ainsi en danger les données sensibles des universités, collectivités locales et plateformes gouvernementales.
L’essentiel à retenir
- Une faille d’injection SQL hautement critique affecte les sites utilisant Drupal, notamment dans le secteur public français.
- La vulnérabilité concerne principalement le module PostgreSQL et est activement exploitée, nécessitant des mises à jour immédiates.
- Des correctifs ont été publiés pour toutes les versions maintenues de Drupal, avec une date limite de correction fixée au 27 mai pour les agences fédérales américaines.
Un historique de vulnérabilités critiques
Le CMS Drupal, largement adopté par les institutions publiques françaises, est de nouveau sous le feu des projecteurs avec la découverte d’une nouvelle faille d’injection SQL. Cette vulnérabilité est la troisième du genre en douze ans. Les incidents précédents, surnommés « Drupalgeddon » et « Drupalgeddon2 », avaient déjà souligné les risques liés à ce type de faille.
La récente vulnérabilité, identifiée sous le code CVE-2026-9082, affecte spécifiquement le module PostgreSQL de Drupal. Cette faille permet à un attaquant non authentifié d’injecter du code SQL via des vecteurs tels que le endpoint JSON du formulaire de connexion et l’API JSON:API.
La réponse rapide des acteurs de la sécurité
Suite à la découverte de la faille, la CISA a imposé une mise à jour avant le 27 mai pour les agences fédérales américaines. Des correctifs ont été rapidement développés pour toutes les versions supportées de Drupal, y compris des branches en fin de vie comme Drupal 8.9 et 9.5, ainsi que des mises à jour pour Symfony et Twig.
Imperva, filiale du groupe Thales, a publié une analyse révélant que plus de 15 000 tentatives d’attaque avaient été détectées, ciblant environ 6 000 sites dans 65 pays. Les secteurs du gaming et des services financiers sont particulièrement touchés.
La communauté Drupal en action
Historiquement, Drupal a été recommandé par l’administration française pour les sites institutionnels en raison de sa flexibilité et de sa sécurité. Cependant, cette nouvelle faille met en lumière la nécessité d’une vigilance accrue et d’une mise à jour régulière des systèmes. La communauté Drupal en France, composée de développeurs et d’intégrateurs, joue un rôle crucial dans le renforcement de la sécurité des sites.
Impact de la faille Drupal sur la sécurité numérique des administrations françaises
La vulnérabilité actuelle souligne l’importance de la sécurité numérique au sein des administrations publiques. Les sites en .gouv.fr, gérés souvent sur des versions de Drupal qui ne sont pas toujours à jour, nécessitent une attention particulière pour éviter des compromis de données sensibles. L’intégration rapide des patchs est essentielle pour prévenir toute exploitation malveillante.
Les défis de la cybersécurité dans le secteur public
Cette faille critique met en lumière les défis constants auxquels sont confrontées les administrations publiques en matière de cybersécurité. Les cyberattaques ciblant les institutions publiques sont de plus en plus sophistiquées, nécessitant des mesures de protection renforcées et une mise à jour continue des systèmes.
Alors que les cyberattaques deviennent un problème mondial, des entreprises comme Thales continuent de développer des solutions pour protéger les infrastructures critiques. Les collaborations entre les acteurs publics et privés sont cruciales pour renforcer la résilience des systèmes face à ces menaces.