Intelligence artificielle en cybersécuritéAnthropic a volontairement supprimé son IA de détection de vulnérabilités la plus puissante. Cette décision est la véritable histoire.Claude Mythos a découvert des milliers de failles inconnues dans tous les principaux systèmes d'exploitation et navigateurs. Le choix d'Anthropic de le restreindre nous en dit plus sur la gouvernance de l'IA que sur les capacités elles-mêmes.Claude MythosAnthropicDécouverte de vulnérabilités par l'IAGouvernance de l'IAPatch Tuesday·Jun 16, 2026·5 min readLire l'article
02Oracle PeopleSoft vulnerability ## Qu'est-ce que la vulnérabilité Oracle PeopleSoft ? Une vulnérabilité Oracle PeopleSoft est une faille de sécurité dans le logiciel Oracle PeopleSoft, une suite d'applications professionnelles utilisée par les entreprises et les établissements d'enseignement pour gérer des fonctions telles que les ressources humaines, les finances et la gestion de la relation client. Ces vulnérabilités peuvent permettre à des attaquants d'accéder sans autorisation à des données sensibles, de perturber des services ou de prendre le contrôle de systèmes. ## Pourquoi Oracle PeopleSoft est-il une cible ? Oracle PeopleSoft est largement utilisé dans les grandes organisations, notamment les universités, les hôpitaux et les administrations publiques. Étant donné qu'il gère des informations très sensibles — comme les dossiers des employés, les données financières et les informations personnelles des étudiants — il constitue une cible attrayante pour les cybercriminels. ## Types courants de vulnérabilités - **Falsification de requête côté serveur (SSRF) :** permet à un attaquant d'envoyer des requêtes depuis le serveur vers des systèmes internes qui ne devraient pas être accessibles depuis l'extérieur. - **Téléversement de fichiers non restreint :** permet à des utilisateurs non autorisés de téléverser des fichiers malveillants sur le serveur. - **Contournement d'authentification :** permet à des attaquants d'accéder au système sans avoir les identifiants appropriés. - **Injection SQL :** permet à des attaquants d'exécuter des commandes de base de données malveillantes en injectant du code SQL dans les champs de saisie. - **Scripts intersites (XSS) :** permet à des attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs. ## Exemple concret : CVE-2017-10061 L'une des vulnérabilités Oracle PeopleSoft les plus connues est **CVE-2017-10061**, une faille critique de type SSRF découverte en 2017. Cette vulnérabilité permettait à des attaquants de : 1. Accéder à des services internes protégés par un pare-feu. 2. Récupérer des fichiers sensibles depuis le système. 3. Potentiellement prendre le contrôle total du serveur PeopleSoft. Cette faille était particulièrement dangereuse car elle ne nécessitait aucune authentification — n'importe qui sur Internet pouvait l'exploiter si le système n'était pas corrigé. ## Comment ces vulnérabilités sont-elles exploitées ? Les attaquants exploitent généralement les vulnérabilités PeopleSoft en : - Scannant Internet à la recherche de systèmes PeopleSoft non corrigés. - Utilisant des exploits publiquement disponibles pour tirer parti de failles connues. - Ciblant des interfaces web exposées telles que les portails en libre-service ou les interfaces d'administration. - Exploitant des configurations par défaut ou des mots de passe faibles laissés en place lors du déploiement. ## Comment se protéger - **Appliquer les correctifs régulièrement :** Oracle publie des mises à jour critiques via ses bulletins de correctifs trimestriels (CPU). L'application rapide de ces correctifs est essentielle. - **Utiliser des pare-feu et des contrôles d'accès réseau :** limiter l'accès aux systèmes PeopleSoft aux seuls utilisateurs et réseaux autorisés. - **Effectuer des audits de sécurité réguliers :** inspecter périodiquement les configurations du système et les journaux d'accès pour détecter toute activité suspecte. - **Former les utilisateurs :** s'assurer que les administrateurs et les utilisateurs comprennent les bonnes pratiques de sécurité. - **Surveiller les avis de sécurité :** suivre les annonces d'Oracle et les bases de données de vulnérabilités telles que le NVD (National Vulnerability Database). ## Principaux enseignements - Oracle PeopleSoft est un logiciel professionnel largement utilisé, contenant des données très sensibles. - Des vulnérabilités comme la SSRF, le contournement d'authentification et l'injection SQL peuvent exposer ces données à des attaquants. - Une gestion régulière des correctifs et de bonnes pratiques de sécurité sont essentielles pour réduire les risques. - Des failles réelles comme CVE-2017-10061 montrent à quel point ces vulnérabilités peuvent être graves si elles ne sont pas corrigées.CVE-2026-35273 : La faille zero-day PeopleSoft qui a rendu impossible d'ignorer le problème des ERP dans l'enseignement supérieurOracle PeopleSoftCVE-2026-35273Vulnérabilité Zero-DaySécurité de l'enseignement supérieurPatch Tuesday·Jun 16, 2026·6 min readLire l'article
03Binding Operational DirectiveTrois jours pour corriger : la directive BOD 26-04 de la CISA compresse les délais de correction des vulnérabilités fédérales tout en autorisant officiellement le report des failles à risque plus faibleCISABOD 26-04Vulnerability ManagementFederal CybersecurityFine Print·Jun 12, 2026·4 min readLire l'article