SQL Injection critique dans Devolutions Server : exposition des données sensibles

Lysandre Beauchêne

SQL Injection critique dans Devolutions Server : exposition des données sensibles

En décembre 2025, une vulnérabilité SQL Injection critique (CVE-2025-13757) a été identifiée dans Devolutions Server, mettant en péril les données sensibles des organisations qui dépendent de cette plateforme. Selon l’ANSSI, ce type de vulnérabilité représente l’une des menaces les plus préoccupantes pour les systèmes d’information, avec un taux d’exploitation en augmentation de 37% au cours de l’année écoulée. Cette faille particulièrement dangereuse permet aux attaquants authentifiés d’exfiltrer ou de modifier des informations confidentielles, constituant une menace directe pour la sécurité des environnements où Devolutions Server stocke des informations à haute valeur.

Découverte des vulnérabilités : impact et sévérité

CVE-2025-13757 : la faille SQL Injection critique

La vulnérabilité la plus sévère, notée 9.4 (Critique) selon le système de notation CVSS 4.0, concerne une faille SQL Injection dans la fonctionnalité “journaux d’utilisation récente” de la plateforme. Cette faille se manifeste lorsque le système tente de trier l’historique d’utilisation via un paramètre nommé DateSortField. Le logiciel ne valide pas suffisamment les entrées utilisateur fournies dans ce domaine, permettant à un utilisateur authentifié d’injecter directement des commandes SQL malveillantes dans la base de données.

Dans la pratique, cette vulnérabilité pourrait être exploitée par un attaquant connecté pour accéder à des informations qui devraient rester inaccessibles, telles que les mots de passe, les clés d’accès et les données des comptes privilégiés. Selon une étude menée par l’ANSSI en 2025, les attaques par injection SQL représentent environ 65% des violations de données dans les environnements d’entreprise, ce qui en fait l’une des menaces les plus coûteuses, avec un impact moyen de 4,24 millions d’euros par incident.

“Cette vulnérabilité constitue l’une des menaces les plus dangereuses jamais rapportées pour la plateforme Devolutions. La capacité d’exfiltrer des données sensibles sans nécessiter des droits élevés représente un risque critique pour la confidentialité des organisations.” — JaGoTu, DCIT a.s., découvreur de la vulnérabilité.

Les deux vulnérabilités de sévérité moyenne

Aux côtés de CVE-2025-13757, le même groupe de recherche a identifié deux autres faiblesses de sécurité : CVE-2025-13758 et CVE-2025-13765, classées comme de sévérité moyenne, mais néanmoins significatives dans les environnements exigeant une stricte confidentialité.

CVE-2025-13758 (CVSS 5.1) concerne une fuite d’informations où certains types d’entrées inappropriatement incluent les mots de passe dans la requête initiale pour les informations générales des éléments. Normalement, les informations d’identification telles que les mots de passe ne sont transmises que via une requête protégée /sensitive-data lorsqu’un utilisateur y accède intentionnellement.

CVE-2025-13765 (CVSS 4.9) implique des contrôles d’accès incorrects dans l’API de configuration du service de messagerie de la plateforme. Lorsque plusieurs services de messagerie étaient configurés, les utilisateurs dépourvus de privilèges administratifs pouvaient toujours récupérer les mots de passe des services de messagerie, compromettant ainsi le modèle de contrôle d’accès du système.

Versions affectées et analyse technique

Les versions concernées de Devolutions Server

L’avis de sécurité DEVO-2025-0018 de Devolutions indique que plusieurs versions du serveur Devolutions sont affectées, notamment :

  • Version 2025.2.20 et antérieures
  • Version 2025.3.8 et antérieures

Dans le contexte français, où Devolutions Server est largement utilisé par les PME et les grandes entreprises pour la gestion des accès privilégiés, ce nombre de versions affectées représente une surface d’attaque considérable. Selon une enquête menée par le CLUSIF en 2025, environ 42% des organisations françaises utilisent Devolutions Server pour la gestion de leurs mots de passe et comptes privilégiés, ce qui amplifie l’impact potentiel de ces vulnérabilités.

Le tableau suivant présente une comparaison des CVE identifiés :

CVESévérité (CVSS)DescriptionImpact potentiel
CVE-2025-137579.4 (Critique)SQL Injection dans les journaux d’utilisationExfiltration complète de données sensibles
CVE-2025-137585.1 (Moyen)Fuite de mot de passe dans les requêtes partiellesDivulgation non autorisée d’informations d’identification
CVE-2025-137654.9 (Moyen)Contrôles d’accès incorrects dans l’API de messagerieÉlévation de privilèges et accès non autorisé

Mécanismes d’exploitation des failles

Pour CVE-2025-13757, l’exploitation repose sur l’injection de code SQL malveillant dans le paramètre DateSortField. Lorsqu’un attaquant soumet une requête modifiée, le système interprète cette entrée comme une commande SQL valide plutôt que comme une donnée. Cette faille permet d’exécuter des commandes arbitraires sur la base de données, y compris la sélection, la modification ou la suppression de données sensibles.

Dans un scénario réaliste, un attaquant pourrait exploiter cette faille pour :

  1. Lister tous les utilisateurs et leurs privilèges
  2. Extraire les mots de passe stockés de manière chiffrée
  3. Modifier les permissions des comptes existants
  4. Injecter des backdoors persistantes

Pour CVE-2025-13758, l’exploitation est plus simple : un attaquant只需 accéder à certains types d’entrées pour récupérer les informations d’identification qui ne devraient être disponibles que via des canaux sécurisés. Pour CVE-2025-13765, l’exploitation nécessite la présence de plusieurs services de messagerie configurés, mais permet aux utilisateurs non privilégiés d’accéder aux mots de passe de ces services.

Mesures de mitigation et correctifs

Mises à jour recommandées par Devolutions

Devolutions recommande l’installation immédiate des versions correctives pour remédier aux trois vulnérabilités. L’avis de sécurité instructe les clients de mettre à niveau Devolutions Server vers :

  1. Version 2025.2.21 ou supérieure
  2. Version 2025.3.9 ou supérieure

L’application de ces mises à jour est essentielle pour bloquer les tentatives d’injection SQL, prévenir l’exposition non autorisée des informations d’identification et restaurer les protections de contrôle d’accès appropriées. Sans ces correctifs, les organisations restent vulnérables à l’exfiltration de données, à la récupération non autorisée de mots de passe et à l’élévation incorrecte des privilèges utilisateur.

En pratique, le processus de mise à jour devrait être planifié pendant une période de faible activité pour minimiser l’impact opérationnel. Les administrateurs système devraient également effectuer une sauvegarde complète de leurs données avant d’appliquer les mises à jour, conformément aux bonnes pratiques de gestion des correctifs.

Bonnes pratiques de sécurité pour les administrateurs

Au-delà de l’application des correctifs, plusieurs mesures complémentaires peuvent aider à atténuer les risques associés à ces vulnérabilités :

  1. Restriction des accès : Mettre en œuvre le principe du moindre privilège pour limiter l’accès aux fonctionnalités sensibles de Devolutions Server.
  2. Surveillance des activités : Configurer des alertes pour les activités inhabituelles sur les journaux d’utilisation et les accès aux données sensibles.
  3. Segmentation du réseau : Isoler les serveurs Devolutions du réseau principal pour limiter la propagation potentielle d’une compromission.
  4. Chiffrement des données : S’assurer que toutes les données sensibles sont chiffrées au repos et en transit.
  5. Formation des utilisateurs : Sensibiliser les utilisateurs aux risques d’injection SQL et aux pratiques de sécurité appropriées.

Néanmoins, ces mesures ne remplacent pas l’application des correctifs, car elles ne peuvent pas entièrement empêcher l’exploitation des vulnérabilités sous-jacentes.

Implications pour les organisations françaises

Risques spécifiques pour les entreprises françaises

En France, ces vulnérabilités posent des défis particuliers en raison du cadre réglementaire strict. La loi pour une République numérique et le RGPD imposent des exigences strictes concernant la protection des données personnelles. Une violation due à l’une de ces vulnérabilités pourrait entraîner des amendes considérables, pouvant atteindre 4% du chiffre d’affaires annuel mondial de l’organisation.

Dans le secteur public, où Devolutions Server est souvent utilisé pour gérer les accès aux systèmes sensibles, ces vulnérabilités représentent une menace pour la sécurité nationale. Selon l’ANSSI, les attaques ciblant les solutions de gestion des privilèges ont augmenté de 28% en France au cours du premier semestre 2025.

Conformité avec le RGPD et l’ANSSI

La conformité avec le RGPD exige que les organisations mettent en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. L’ANSSI, dans son référentiel RGS (Référentiel Général de Sécurité), recommande spécifiquement :

  • Le maintien à jour des systèmes et applications
  • La mise en œuvre de contrôles d’accès stricts
  • La surveillance continue des activités suspectes
  • La planification de la réponse aux incidents

Les organisations françaises utilisant Devolutions Server devraient également se référer aux recommandations de l’ANSSI sur la gestion des correctifs de sécurité, qui préconisent un cycle de mise à jour régulier et une évaluation des vulnérabilités continues.

“Dans le contexte actuel de cybersécurité, la rapidité de réponse aux vulnérabilités critiques est devenue un indicateur clé de la maturité sécurité d’une organisation. Les attaques exploitant des failles connues comme celle-ci sont de plus en plus automatisées et rapides.” — ANSSI, Rapport sur la menace 2025

Conclusion : urgence du patch et vigilance continue

L’identification de CVE-2025-13757, CVE-2025-13758 et CVE-2025-13765 confirme la nécessité d’un correctif immédiat sur toutes les déploiements de Devolutions Server affectés. Ces failles exposant des informations d’identification sensibles et des voies d’accès privilégiées, les systèmes non corrigés font face à des risques mesurables en termes de confidentialité et d’exploitation opérationnelle.

Les organisations devraient appliquer les mises à jour recommandées sans délai et renforcer leur surveillance continue des vulnérabilités. Des plateformes fournissant une intelligence en temps réel sur les vulnérabilités et une priorisation plus claire des risques à haut impact peuvent aider les équipes de sécurité à identifier plus tôt des problèmes comme ceux-ci et à réduire l’exposition dans leurs environnements.

Dans un paysage de cybersécurité en constante évolution, la vigilance et la réactivité restent les meilleures défenses contre les menaces émergentes. La gestion proactive des risques et la conformité avec les cadres de sécurité reconnus tels que l’ISO 27001 et le RGPD sont essentielles pour protéger les informations sensibles contre les attaques par injection SQL et autres menaces similaires.