MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Cato Networks, un leader du SASE, révèle une faille critique dans Streamlit, un framework open source populaire pour les applications de données. Cette vulnérabilité dans la fonction st.file_uploader permet à un attaquant de contourner les restrictions de type de fichier et de prendre le contrôle complet d’une instance cloud mal configurée.
Dans une démonstration en environnement de test, les chercheurs de Cato ont montré comment cette faille pouvait être exploitée pour manipuler des tableaux de bord boursiers en temps réel ou encore voler des données financières avec des conséquences potentielles sur les marchés financiers. Cela peut permettre entre autres des déclenchements de faux signaux et des impacts potentiels sur les portefeuilles.
“Imaginez des analystes financiers observant une chute soudaine des cours boursiers. Les tableaux de bord affichent des données incohérentes, la confiance du marché s’effondre, et les écrans de trading du NASDAQ virent au rouge. Mais cette fois, la perturbation n’est pas causée par des événements politiques ou des bouleversements économiques. Elle débute par une cyberattaque. Nous dévoilons comment une faille simple et négligée dans la fonction de téléchargement de fichiers de Streamlit, un framework open source largement utilisé pour créer des tableaux de bord boursiers, pourrait être exploitée pour provoquer un tel chaos financier.”, expliquent dans un article de blog Snir Aviv, Yuval Moravchick, and Guy Waizel, chercheurs de Cato CTRL
Bien que la démonstration de Cato Networks ait ciblé une instance cloud autonome, les chercheurs soulignent que l’intégration étendue de Streamlit dans d’autres plateformes pourrait élargir la surface d’attaque, notamment dans la chaîne d’approvisionnement logicielle.
Découverte de la vulnérabilité par l’équipe de recherche Cato CTRL, le 21 février 2025.
Correctif publié par Streamlit dans la version 1.43.2 le 11 mars 2025.
Le 6 avril 2025, Streamlit n’a pas encore reconnu la faille comme vulnérabilité de sécurité ; Cato a soumis deux demandes de classification CVE à MITRE dont la dernière en juillet 2025, sans réponse à ce jour.
Une instance cloud publique utilisant Streamlit sans restrictions d’accès adéquates peut permettre, peut avoir plusieurs impacts tels que l’exposition de données sensibles, la modification de fichiers backend ou encore la manipulation de tableaux de bord financiers.
Conformément au modèle de responsabilité partagée, la sécurisation des environnements cloud (contrôle des accès, règles de pare-feu, permissions) incombe au client. Cato Networks rappelle que cette faille ne touche pas l’infrastructure cloud sous-jacente, mais résulte d’une mauvaise configuration de l’application Streamlit.
