Avis de sécurité : commencer par le périmètre, pas par la panique
Une activité courte pour apprendre aux élèves CIEL à lire un avis CERT-FR : produit, version, risque, exposition, décision, preuve.
Un avis de sécurité mal lu, c’est souvent deux mauvais réflexes :
"Microsoft est vulnérable, il faut tout patcher maintenant."
"Cisco est exploité, donc notre TP routeur est en danger."
Ce n’est pas de la veille. C’est du bruit avec un gyrophare.
En CIEL, l’exercice utile est plus simple : apprendre à passer d’un titre d’avis à une décision technique défendable.
Trois signaux de la semaine
1. Un avis “produits Microsoft” qui ne veut pas dire “tous les Windows du lycée”
Le 8 juin 2026, le CERT-FR publie un avis intitulé “Multiples vulnérabilités dans les produits Microsoft”.
Si on s’arrête au titre, on peut imaginer Windows, Office, Edge, Azure, bref tout le buffet.
Mais le détail de l’avis indique un périmètre beaucoup plus précis :
Systèmes affectés : azl3 golang 1.26.3-1 versions antérieures à 1.26.4-1
Les bulletins Microsoft associés concernent notamment des vulnérabilités de la bibliothèque standard Go publiées dans le Microsoft Security Update Guide début juin 2026.
Conclusion pédagogique : le titre donne l’alerte, pas la décision.
2. CPython : même une bibliothèque peut devenir un sujet de maintenance
Le 9 juin 2026, le CERT-FR signale une vulnérabilité dans CPython, avec un risque de déni de service à distance. La source éditeur Python parle de bz2.BZ2Decompressor et d’un problème déclenché après erreur.
Pour un élève, ce n’est pas forcément “je dois comprendre toute la mémoire C de CPython”.
La bonne question est plus technicienne :
Est-ce que j’utilise Python dans un service exposé ?
Est-ce que ce service accepte des fichiers compressés ou des entrées non fiables ?
Quelle version est installée ?
Quelle mise à jour est disponible ?
Quelle preuve je garde après correction ?
3. Cisco SD-WAN : exploité ne veut pas dire “présent chez nous”
Le 5 juin 2026, le CERT-FR publie un avis sur Cisco Catalyst SD-WAN Manager, avec élévation de privilèges. L’avis précise que Cisco indique une exploitation active de la vulnérabilité CVE-2026-20245.
C’est sérieux. Mais la première étape reste froide :
Avons-nous Catalyst SD-WAN Manager ?
Si oui, quelle version ?
Est-il exposé ?
Qui administre ?
Quelle action éditeur ?
Quelle preuve de traitement ?
Si la réponse à la première question est “non”, on ne fait pas un roman. On note “non concerné” avec la raison.
Le rituel CIEL : 6 lignes avant toute décision
À faire remplir par les élèves à partir d’un avis CERT-FR ou éditeur :
1. Source de l’avis :
2. Produit exact :
3. Version(s) concernée(s) :
4. Risque annoncé :
5. Présent dans notre périmètre ? Oui / Non / À vérifier
6. Décision + preuve attendue :
Exemple avec l’avis Microsoft :
Source : CERTFR-2026-AVI-0701 + MSRC
Produit exact : azl3 golang
Versions concernées : antérieures à 1.26.4-1
Risque : problème de sécurité non spécifié par l’éditeur
Présent dans notre périmètre : à vérifier, seulement si Azure Linux / paquet concerné
Décision : inventorier, comparer version installée, appliquer correctif si concerné, conserver trace
Le point important : “Microsoft” n’est pas un périmètre. “azl3 golang 1.26.3-1” commence à en être un.
Activité courte : 20 minutes, pas plus
Donner trois avis aux élèves, par binôme :
- un avis où le produit est probablement absent du lab ;
- un avis où le produit peut être présent mais pas exposé ;
- un avis lié à un outil réellement utilisé en TP.
Chaque binôme doit produire une fiche de décision :
Concerné / non concerné / à vérifier
Pourquoi ?
Quelle version faut-il contrôler ?
Quelle commande, capture ou page prouve le résultat ?
Exemples de preuves acceptables :
python3 --version
apt policy python3
rpm -q golang
show version
capture de la page version d’un équipement
copie du bulletin éditeur avec version corrigée surlignée
Pas besoin de transformer ça en grand oral de cybersécurité. Le vrai objectif est de casser le réflexe “j’ai vu un titre, donc je sais”.
Ce que ça entraîne vraiment
Cette micro-activité travaille plusieurs réflexes utiles :
- lire une source primaire ou quasi primaire ;
- identifier un produit exact ;
- distinguer titre, résumé, système affecté et solution ;
- ne pas confondre vulnérabilité publiée et exposition locale ;
- garder une preuve simple de vérification.
C’est moins spectaculaire qu’une démo d’exploitation. Mais c’est exactement le genre de geste qui évite de faire n’importe quoi dans un vrai SI.
Sources
- CERT-FR — “Multiples vulnérabilités dans les produits Microsoft”, avis
CERTFR-2026-AVI-0701, version initiale le 8 juin 2026 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0701/ - Microsoft Security Update Guide —
CVE-2026-42504(bibliothèque standard Go), publié début juin 2026 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42504 - Microsoft Security Update Guide —
CVE-2026-42507(bibliothèque standard Go), publié début juin 2026 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42507 - CERT-FR — “Vulnérabilité dans CPython”, avis
CERTFR-2026-AVI-0704, version initiale le 9 juin 2026 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0704/ - Python Security Announce —
[CVE-2026-9669] bz2.BZ2Decompressor reuse after error can cause a stack buffer overflow, publié le 8 juin 2026 : https://mail.python.org/archives/list/security-announce@python.org/thread/DBJZETMGUIFK7DVUWMOXHD3Z6IX2QPSX/ - CERT-FR — “Vulnérabilité dans Cisco Catalyst SD-WAN”, avis
CERTFR-2026-AVI-0699, version initiale le 5 juin 2026 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0699/