Netcrook Logo
👤 SECPULSE
🗓️ 14 Jan 2026  

Des fantômes dans la machine : comment une faille silencieuse dans la plateforme IA de ServiceNow a ouvert la porte à des intrus invisibles

Une vulnérabilité récemment découverte dans ServiceNow pourrait permettre à des hackers de se faire passer pour n’importe quel utilisateur - sans mot de passe requis.

Tout a commencé, comme tant de catastrophes cybernétiques, par une seule faille négligée - une faille qui aurait pu permettre à des fantômes numériques de s’infiltrer, invisibles, au cœur névralgique des entreprises mondiales. En octobre, des chercheurs en sécurité chez AppOmni ont découvert une vulnérabilité critique tapie au plus profond de la plateforme IA de ServiceNow. Les implications ? Effroyablement simples : un attaquant, sans aucune identification, pouvait usurper l’identité de n’importe quel utilisateur et exercer ses privilèges sur des systèmes essentiels à l’entreprise. Pour les organisations qui font confiance à ServiceNow pour gérer leurs opérations les plus sensibles, ce fut un signal d’alarme impossible à ignorer.

En bref

  • CVE-2025-12420 : Faille critique d’escalade de privilèges dans la plateforme IA de ServiceNow
  • Les attaquants pouvaient usurper l’identité d’utilisateurs sans authentification et détourner leurs permissions
  • Découverte par AppOmni et corrigée par ServiceNow fin octobre 2025
  • Applications clés concernées : Now Assist AI Agents et Virtual Agent API - correctif immédiat requis
  • Aucune attaque confirmée à ce jour, mais le risque reste élevé après la divulgation publique

Au cœur de la faille : anatomie d’une menace moderne pour l’entreprise

ServiceNow est la colonne vertébrale numérique de milliers d’entreprises, automatisant les flux de travail et gérant des informations sensibles. Mais la découverte de CVE-2025-12420 a révélé une faille béante : une vulnérabilité d’escalade de privilèges sans authentification. En termes simples, cela signifiait qu’un hacker n’avait besoin ni de mot de passe ni même d’un compte valide - il pouvait simplement s’introduire, endosser l’identité de n’importe quel utilisateur et effectuer toutes les actions permises à ce dernier. De l’approbation de transactions financières à l’accès à des dossiers RH confidentiels, les possibilités d’abus étaient presque illimitées.

Le problème technique se trouvait dans les applications alimentées par l’IA de ServiceNow - en particulier Now Assist AI Agents et l’API Virtual Agent. Toutes deux sont largement utilisées pour renforcer l’automatisation et le service client. Mais leur popularité en faisait aussi des cibles de choix. Dès qu’AppOmni a détecté la faille, ils ont tiré la sonnette d’alarme via une divulgation responsable. L’équipe sécurité de ServiceNow a réagi rapidement, déployant des correctifs sur toutes les instances cloud et alertant les clients utilisant des systèmes auto-hébergés.

La solution était claire : mettre à jour Now Assist AI Agents vers la version 5.1.18 ou 5.2.19+, et Virtual Agent API vers 3.15.2 ou 4.0.4+. Mais le risque ne s’arrêtait pas là. La divulgation publique de la faille signifie que des hackers du monde entier se lancent désormais dans une course contre les défenseurs pour exploiter les retardataires qui n’auraient pas mis à jour à temps. Le vecteur d’escalade - où un attaquant passe de zéro accès à un contrôle total - rend ce bug particulièrement dangereux, menaçant l’intégrité des systèmes et bases de données connectés, au-delà même de ServiceNow.

Les experts en sécurité préviennent : vérifiez la version de votre déploiement ServiceNow, appliquez les correctifs immédiatement et surveillez l’activité des utilisateurs pour détecter toute usurpation. Si la réaction rapide de ServiceNow a permis de gagner un temps précieux, le paysage des menaces reste impitoyable, et les attaquants sophistiqués guettent toujours la prochaine porte laissée entrouverte.

Perspectives : leçons au bord du gouffre

Cet incident rappelle brutalement que même les plateformes les plus fiables peuvent receler des dangers invisibles. À mesure que l’IA et l’automatisation s’entremêlent au quotidien des entreprises, l’enjeu d’une seule faille devient exponentiel. Dans la bataille entre attaquants et défenseurs, la rapidité et la vigilance sont essentielles. Les fantômes dans la machine sont peut-être silencieux, mais leur présence exige notre attention constante.

WIKICROOK

  • Escalade de privilèges : L’escalade de privilèges se produit lorsqu’un attaquant obtient un accès de niveau supérieur, passant d’un compte utilisateur standard à des privilèges administrateur sur un système ou un réseau.
  • Vecteur d’attaque non authentifié : Un vecteur d’attaque non authentifié permet aux attaquants d’exploiter des vulnérabilités système sans se connecter ni utiliser d’identifiants, rendant ces menaces particulièrement dangereuses et répandues.
  • Divulgation coordonnée : La divulgation coordonnée consiste à signaler de manière privée des failles de sécurité aux fournisseurs, leur laissant le temps de corriger les problèmes avant une divulgation publique afin de protéger les utilisateurs.
  • Correctif : Un correctif est une mise à jour logicielle publiée pour corriger des vulnérabilités de sécurité ou des bugs dans des programmes, aidant à protéger les appareils contre les cybermenaces et à améliorer la stabilité.
  • SaaS (Software as a Service) : Le SaaS (Software as a Service) fournit des logiciels en ligne via le cloud, permettant aux utilisateurs d’accéder et de gérer des applications sans installation ni maintenance locale.
ServiceNow Cybersecurity Vulnerability
SECPULSE SECPULSE
SOC Detection Lead
← Back to news