Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a publié le 21 mai 2026 un avis de sécurité concernant de multiples vulnérabilités dans les produits de la fondation Apereo. Ces failles, référencées sous le numéro CERTFR-2026-AVI-0625, affectent les bibliothèques Java CAS Client et exposent les systèmes à un risque d’atteinte à la confidentialité des données.

Systèmes concernés

Les produits concernés sont les versions de Java CAS Client antérieures à la version 4.1.1. CAS (Central Authentication Service) est un protocole d’authentification unique largement déployé dans les environnements universitaires et de recherche, dont Apereo assure la maintenance.

Selon les informations publiées par le CERT-FR, les vulnérabilités identifiées permettent à un attaquant de porter atteinte à la confidentialité des données traitées par les applications utilisant ces bibliothèques. La nature précise des failles, leurs vecteurs d’attaque et leur criticité ne sont pas détaillées dans l’avis, mais l’éditeur a publié un bulletin de sécurité spécifique le 20 mai 2026.

Mesures de correction

Les administrateurs et développeurs utilisant les composants Java CAS Client sont invités à se référer au bulletin de sécurité édité par Apereo pour obtenir les correctifs nécessaires. La mise à jour vers la version 4.1.1 ou toute version ultérieure permet de remédier aux vulnérabilités.

L’avis du CERT-FR recommande de suivre les instructions fournies par l’éditeur afin d’appliquer les correctifs dans les meilleurs délais. Aucune solution de contournement n’a été mentionnée dans les sources disponibles.

Contexte et recommandations

La fondation Apereo est à l’origine de nombreux logiciels libres destinés à l’enseignement supérieur et à la recherche, dont le système de gestion de l’apprentissage Sakai et le portail uPortal. La bibliothèque Java CAS Client est un composant clé pour l’intégration de l’authentification unique dans les applications Java.

Le CERT-FR rappelle l’importance d’appliquer les correctifs de sécurité dès leur disponibilité, en particulier pour les composants d’authentification qui constituent une porte d’entrée potentielle vers les systèmes d’information. Les équipes techniques sont invitées à vérifier la version de Java CAS Client déployée dans leur environnement et à programmer la mise à jour si nécessaire.