Netcrook Logo
👤 KERNELWATCHER
🗓️ 19 Jan 2026  

Fantôme dans la machine : la faille “BodySnatcher” permet aux hackers de devenir n’importe qui sur ServiceNow

Sous-titre : Une simple adresse e-mail suffit aux cybercriminels pour prendre le contrôle des plateformes ServiceNow on-premise, à cause d’une vulnérabilité critique récemment révélée.

Imaginez vous réveiller pour découvrir qu’une autre personne a un accès complet aux données ServiceNow les plus sensibles de votre entreprise - sans jamais avoir volé de mot de passe, contourné la MFA ou brisé vos défenses SSO. C’est la réalité glaçante derrière “BodySnatcher”, une vulnérabilité dévastatrice (CVE-2025-12420) qui a secoué le monde de la tech d’entreprise cette semaine.

En bref

  • “BodySnatcher” permet l’usurpation totale de n’importe quel utilisateur ServiceNow - including les privilèges administrateur - en utilisant uniquement son adresse e-mail.
  • Les attaquants peuvent contourner l’authentification multi-facteur (MFA) et les protections single sign-on (SSO).
  • Seuls les déploiements ServiceNow on-premise sont concernés ; les clients cloud sont en sécurité.
  • La vulnérabilité provient d’un secret client statique universel et d’un auto-linking laxiste des comptes e-mail.
  • Un correctif est disponible ; les administrateurs doivent mettre à jour Now Assist AI Agents et Virtual Agent API vers les versions corrigées immédiatement.

Anatomie d’un vol d’identité numérique

L’exploitation “BodySnatcher” est un cas d’école d’abus de configurations négligées. Au cœur de l’attaque, deux failles fatales : les fournisseurs d’agents IA de ServiceNow étaient livrés avec un secret client codé en dur, identique à l’échelle mondiale, et le processus d’auto-linking du système ne nécessitait qu’une adresse e-mail pour associer une requête externe à un compte utilisateur - pas de MFA, aucun contrôle supplémentaire.

Voici comment l’attaque se déroule : un attaquant, connaissant seulement l’e-mail de la cible, envoie une requête à un endpoint API ServiceNow vulnérable en utilisant le token secret partagé. La fonction d’auto-linking de la plateforme associe alors docilement cette requête à l’utilisateur réel, offrant à l’attaquant son identité numérique. En quelques secondes, l’intrus peut déclencher des workflows IA privilégiés, créer de nouveaux comptes admin, réinitialiser des mots de passe et, en somme, prendre possession de l’instance ServiceNow - sans aucune authentification légitime.

Des attaques de type proof-of-concept ont démontré qu’avec les bons payloads et le bon timing, les hackers pouvaient s’infiltrer discrètement et établir un accès persistant. Il suffit d’une connexion réseau et d’une adresse e-mail - pas besoin de phishing, de brute-force ou d’interception.

ServiceNow a depuis retiré l’agent IA Record Management vulnérable des configurations par défaut et publié des correctifs critiques. Mais les organisations en on-premise doivent agir vite : passer aux dernières versions, imposer la MFA pour tout lien d’agent, auditer les agents IA dormants et verrouiller les configurations personnalisées avec des workflows d’approbation stricts. Les équipes de sécurité sont invitées à considérer tout système non patché comme compromis jusqu’à preuve du contraire.

Conclusion : le prix de la commodité

L’affaire “BodySnatcher” rappelle brutalement que la commodité et l’automatisation - surtout avec des systèmes pilotés par l’IA - peuvent ouvrir de nouvelles portes aux attaquants. À mesure que les plateformes d’entreprise gagnent en complexité, leur surface d’attaque s’élargit. La question n’est pas de savoir si les hackers chercheront des raccourcis ; mais si nous les repérerons avant qu’ils ne s’infiltrent.

WIKICROOK

  • Usurpation : L’usurpation consiste à se faire passer pour une autre personne ou entité en ligne, souvent pour tromper les victimes et voler des informations sensibles.
  • Multi : Multi fait référence à l’utilisation combinée de différentes technologies ou systèmes - comme les satellites LEO et GEO - pour améliorer la fiabilité, la couverture et la sécurité.
  • Single Sign : Le Single Sign-On (SSO) permet aux utilisateurs d’accéder à plusieurs services avec une seule connexion, simplifiant l’accès mais augmentant le risque en cas de compromission des identifiants.
  • Client Secret : Un client secret est une valeur confidentielle utilisée par les applications pour prouver leur identité auprès des fournisseurs d’identité, garantissant une authentification et un accès sécurisés.
  • API Endpoint : Un endpoint API est une adresse web spécifique où les systèmes logiciels échangent des données, agissant comme une fenêtre de service numérique sécurisée pour les requêtes et les réponses.
BodySnatcher ServiceNow Cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news