Sign in Subscribe
By Jean-Marc BIAUDIS in sécurité

Vulnérabilité critique dans Liferay : les systèmes publics en danger

Mauvaise nouvelle pour les administrations françaises : le 2 septembre 2025, le CERT-FR publiait un avi de sécurité alertant sur une vulnérabilité dans Liferay, la plate-forme de portail open-source utilisée par de nombreuses institutions de l’État. D’après l’avis, l’exploitation de ce défaut permet à un attaquant de contourner les politiques de sécurité et potentiellement d’accéder à des données sensibles ou de modifier les règles d’autorisation.

De quoi parle-t-on exactement ?

Sans rentrer dans les détails techniques – le bulletin les réserve aux administrateurs habilités –, la faille concerne un mécanisme de contrôle d’accès *(*Access Control*)* mal sécurisé. En manipulant certaines requêtes sur l’API REST ou le moteur de rendu, un attaquant authentifié peut élever ses privilèges et effectuer des opérations normalement interdites (lecture de documents confidentiels, publication de contenus non validés, etc.).

Le risque ? Une compromission partielle du portail, voire la mise à disposition de vecteurs d’attaque supplémentaires vers le réseau interne de la DSI.

Pourquoi cela impacte aussi bien l’État

Liferay est historiquement choisie par les ministères pour ses fonctionnalités de gestion documentaire, d’intranet collaboratif et de site institutionnel. Un portail compromis peut donc servir de tremplin vers les systèmes d’information suivants : bases de cofinancement, référentiels RH, espaces d’échange avec les partenaires…

Autant dire que la Direction générale de la sécurité de l’information (DGSI) suit le dossier avec attention. Un patch est déjà en cours de qualification ; les DSI sont invitées à l’appliquer sans attendre et à restreindre temporairement l’accès jusqu’à la solution finale.

Les 3 actions à mener dès maintenant

  1. Appliquer le patch dès qu’il est officiellement dispo (version 7.4.3.118+ par les canaux Liferay/DGSI).
  2. Vérifier les journaux d’accès à la recherche de tentatives d’élévation de privilèges (codes HTTP 200 sur des endpoints */api/jsonws/* ou */c/portal/* inhabituels).
  3. Auditer les comptes ayant accès aux espaces restreints ; changer les mots de passe en cas de doute.

Vers un cycle de menace plus rapide ?

Cette découverite illustre une tendance: open source rime avec transparence… mais aussi avec reconnaissance accélérée des vulnérabilités. Heureusement, la communauté corrige vite ; encore faut-il appliquer les mises à jour. Les attaquants n’attendent pas.

Soucieux d’accompagner les équipes IT, le CERT-FR propose jusqu’à la fin du mois des webconférences gratuites sur la sécurisation de Liferay. À noter dans votre agenda si vous administrez un portail public ou privé.

Conclusion

Proactifs, vigilants, réactifs : telle doit être la posture des responsables SI en 2025. En attendant le correctif final, considérez cette alerte comme un rappel salutaire : un outil aussi « bien pensé » que Liferay peut aussi devenir la porte d’entrée principale d’une intrusion. Ne faites pas confiance au logiciel, auditez-le.

Et vous, avez-vous déjà détecté des tentatives anormales sur vos portails Liferay ? Racontez vos retours d’expérience dans les commentaires ou sur les réseaux #SécuritéSI.
🔗 Source officielle : CERT-FR – Avis CERTFR-2025-AVI-0748

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe