Couvrant les récents incidents de vulnérabilité en matière de sécurité, les informations CVE et les tendances de l'industrie.
Dernière mise à jour :
Chargement des nouvelles...
Wiz Research a découvert que la base de données ClickHouse de DeepSeek était accessible au public sans authentification sur deux sous-domaines. Plus d'un million d'entrées de journal contenaient l'historique des discussions en clair, les clés secrètes de l'API et les métadonnées opérationnelles du backend. Les attaquants pouvaient voler des mots de passe et des fichiers locaux directement à partir du serveur. À la suite d'une divulgation responsable, DeepSeek a immédiatement sécurisé la base de données. Une attaque DDoS à grande échelle contre l'API et l'interface de discussion en ligne a également eu lieu le 27 janvier.
Source : Wiz Blog
Un pirate a enregistré un faux compte partenaire sur le portail partenaire de Dell et y a accédé en 48 heures. L'API du portail n'avait pas de contrôle d'autorisation ni de limitation de débit. Pendant trois semaines, le pirate a envoyé environ 5 000 requêtes par minute, dérobant 49 millions d'enregistrements contenant des noms, des adresses, des étiquettes de service et des informations sur les commandes. Les données ont été vendues sur un forum de piratage.
Source : BleepingComputer
Un pirate a exploité l'API REST non protégée de Trello, qui permettait des requêtes non authentifiées par adresse électronique. En soumettant des adresses électroniques provenant de bases de données précédemment violées, l'attaquant a récupéré plus de 15 millions de profils d'utilisateurs (courriels, noms complets, noms d'utilisateur, informations sur les conseils d'administration) et les a publiés sur un forum de piratage. Atlassian a par la suite restreint le point d'accès.
Source : BleepingComputer
Un employé du ministère américain de l'efficacité gouvernementale (DOGE) a déposé un script (agent.py) contenant la clé API privée de xAI dans un dépôt GitHub public. Cette clé donnait un accès illimité à plus de 52 modèles LLM, dont "grok 4-0709", qui avait été créé quatre jours auparavant. GitGuardian a détecté la fuite, mais la clé n'a pas été immédiatement révoquée. Une fuite similaire s'est également produite en mai 2025.
Source : Krebs sur la sécurité
Une vulnérabilité de type SSRF (Server-Side Request Forgery) dans le composant pictureproxy.php de ChatGPT. Un attaquant non-authentifié peut injecter des URLs élaborées pour forcer le serveur à exécuter des requêtes internes non-autorisées. Plus de 10 000 tentatives d'attaques ont été enregistrées à partir d'une seule adresse IP, 33 % des cibles étant des organisations américaines (secteurs financier, gouvernemental et de la santé). Cette vulnérabilité est particulièrement dangereuse car elle peut être exploitée à grande échelle sans authentification.
Source : SecurityWeek
CVE-2024-27564 est un exemple typique de l'API7 (SSRF) de l'OWASP. Les API qui acceptent des URL provenant de sources externes nécessitent une validation stricte pour empêcher l'accès aux réseaux internes. Voir OWASP Top 10 &rarr ; API7.
Selon le rapport 2025 API ThreatStats de Wallarm, 439 CVE liés à l'IA ont été enregistrés en 2024, soit une augmentation de 1 025 % d'une année sur l'autre. Plus de 50 % des entrées du catalogue KEV (Known Exploited Vulnerabilities) de la CISA sont liées à l'API. Les échecs de contrôle d'accès ont augmenté de 40 % dans l'ensemble, et les échecs d'autorisation critique ont augmenté de 36 %.
Wallarm 2025Selon le rapport Q1 2025 de Salt Security, 99% des organisations interrogées ont rencontré au moins un problème de sécurité API au cours des 12 derniers mois. Les principaux risques étaient les attaques par injection et le BOLA (Broken Object Level Authorization), représentant plus d'un tiers de tous les incidents. 95 % des attaques d'API proviennent de sessions authentifiées.
Salt Security Q1 2025Des chercheurs en sécurité ont découvert 30 000 espaces de travail Postman exposés publiquement sans contrôle de sécurité. Ils contenaient des clés API, des jetons d'accès et des charges utiles sensibles, dont beaucoup permettaient d'accéder directement à des environnements de production. Ce cas met en évidence le risque que représentent les identifiants "shadow API" dans les outils de collaboration entre développeurs.
Wallarm 2025Les vulnérabilités des API basées sur l'IA, telles que ChatGPT et DeepSeek, se multiplient. L'injection rapide, le SSRF et l'exposition des données sont les principales menaces. Les mesures de sécurité ne suivent pas le rythme de l'adoption rapide de l'IA.
Le BOLA (Broken Object Level Authorization) reste la vulnérabilité la plus répandue. Comme on l'a vu dans les affaires Dell et Trello, l'absence de contrôles d'autorisation de base entraîne des violations de données à grande échelle.
95 % des attaques se produisent après l'authentification. Les attaquants disposant de jetons d'accès légitimes exploitent les défauts d'autorisation pour se déplacer latéralement, ce qui en fait la technique d'attaque dominante.
Les fuites de clés API à partir d'outils de développement tels que GitHub et Postman sont devenues un problème critique. L'adoption d'outils de détection automatisés (par exemple, GitGuardian) et de pratiques rigoureuses de gestion des secrets est essentielle.
Les informations contenues dans cette page sont basées sur des données publiques datant de 2025. Veuillez consulter les liens de référence ci-dessus pour obtenir les informations les plus récentes sur la vulnérabilité.