LiteLLM, porte d’entrée vers des secrets sensibles
Une faille critique dans LiteLLM, classée CVE-2026-42208, est activement exploitée par des attaquants. Le problème se situe dans la vérification des clés API du proxy, où une injection SQL peut être déclenchée sans authentification.
En pratique, il suffit d’envoyer un en-tête Authorization spécialement forgé vers une route d’API LLM pour tenter de lire ou de modifier des données stockées dans la base de données du proxy.
Le risque dépasse la simple fuite d’informations. LiteLLM centralise souvent des clés API, des clés virtuelles et maîtres, ainsi que des secrets de configuration. Si la base est compromise, c’est tout un environnement de modèles qui peut être exposé.
La correction est disponible dans la version 1.83.7, qui remplace la concaténation de chaînes par des requêtes paramétrées.
Une exploitation rapide et ciblée
Selon des chercheurs en sécurité, les premières tentatives d’exploitation ont commencé très vite après la publication de la vulnérabilité, avec des requêtes visiblement conçues pour viser des tables précises.
Ce tempo est révélateur. Les attaquants ne testent pas seulement un bug générique : ils cherchent à récupérer des secrets utiles pour rebondir vers d’autres services, d’autres comptes, d’autres environnements.
Quand un composant de passerelle concentre les accès, sa compromission peut servir de tremplin à toute l’infrastructure qu’il protège.
Microsoft corrige, mais les nouveaux avertissements RDP s’affichent mal
Microsoft a confirmé un autre souci de sécurité, cette fois sur les fichiers .rdp. Les nouveaux avertissements introduits pour mieux prévenir les connexions à distance malveillantes peuvent s’afficher de travers sur certaines configurations.
Le problème apparaît surtout sur les postes équipés de plusieurs écrans avec des réglages d’affichage différents. Résultat : texte illisible, boutons mal placés, fenêtre difficile à utiliser.
Le fond de l’affaire reste important. Après la mise à jour d’avril 2026, Windows affiche désormais des alertes plus visibles avant l’ouverture d’un fichier RDP, avec davantage d’informations sur la connexion et les ressources locales redirigées. Mais si l’interface se casse, le bénéfice de cette protection s’en trouve affaibli.
Le ransomware change de cible
Au Royaume-Uni, le volume global de ransomware recule, mais ce signal rassurant masque une évolution moins confortable : les grandes organisations sont davantage ciblées et les campagnes réussissent mieux.
Autrement dit, moins d’attaques ne veut pas dire moins de dégâts. Les groupes de rançongiciel semblent privilégier des victimes plus rentables, mieux préparées à payer ou à subir de lourdes interruptions.
Cette concentration du risque change la lecture habituelle du sujet. Les PME restent exposées, mais les grandes structures deviennent des cibles plus attrayantes, avec des retombées opérationnelles et financières plus fortes.
Une même leçon: les défenses ne valent que si elles tiennent
Ces trois informations racontent la même chose sous des angles différents : une faille critique exploitée vite, un avertissement de sécurité mal affiché, et un rançongiciel qui se professionnalise. Dans chaque cas, la protection dépend autant de la technique que de l’exécution.
Mettre à jour LiteLLM, vérifier les dispositifs de filtrage et surveiller les alertes RDP ne suffisent pas si les interfaces de sécurité deviennent ambiguës ou si les secrets sont trop centralisés. La cybersécurité reste une affaire de détails, souvent décisifs.
Sources
- Hackers are exploiting a critical LiteLLM pre-auth SQLi flaw
- UK spy agency releases malware-blocking gadget for HDMI and DisplayPort cables - SilentGlass blocks malicious traffic traveling between display and computer - Tom's Hardware
- Microsoft: New Remote Desktop warnings may display incorrectly
- 'Big Game Hunters': UK ransomware volume drops significantly 'but the reality is more alarming' - big orgs are being hit harder and with greater success - TechRadar