Alerte sécurité — juin 2026. Une faille critique vient d'être découverte dans iCagenda, le composant d'agenda et d'événements très répandu sur les sites Joomla. Elle était déjà exploitée par des robots au moment de sa découverte. Si votre association, votre mairie, votre club ou votre lieu culturel utilise iCagenda, cet article vous concerne directement.
Qui est touché par cette faille iCagenda ?
iCagenda est l'un des composants d'agenda les plus utilisés de l'écosystème Joomla. On le retrouve massivement sur les sites d'associations, de mairies, de clubs sportifs, de salles de spectacle et de lieux culturels — partout où il faut publier un calendrier d'événements. C'est précisément ce public, souvent géré par des bénévoles et avec des sites peu mis à jour, qui est aujourd'hui le plus exposé.
Que permet concrètement la faille ?
Le formulaire public « Proposer un événement » d'iCagenda acceptait des fichiers joints sans vérifier leur type côté serveur. Résultat : un visiteur sans aucun compte ni mot de passe pouvait déposer un fichier PHP malveillant — un « webshell » — dans un dossier accessible, puis l'exécuter pour prendre le contrôle du site. C'est ce qu'on appelle une exécution de code à distance, le type de faille le plus grave qui soit.
Détail aggravant : même les sites qui avaient restreint le formulaire aux « membres inscrits », ou qui n'affichaient aucun menu de soumission public, restaient vulnérables. Le contrôle d'accès n'était vérifié qu'à l'affichage du formulaire, jamais au moment du traitement du fichier. Autrement dit, croire qu'on était protégé parce que le formulaire était « fermé » était une illusion.
Êtes-vous concerné ? Comment vérifier
Toutes les versions d'iCagenda jusqu'à la 4.0.7 incluse sont vulnérables. La faille est corrigée dans la version 4.0.8, publiée en urgence le 15 juin 2026. Pour vérifier : dans l'administration Joomla, allez dans Système → Gérer les extensions, cherchez « iCagenda » et regardez le numéro de version. Si vous êtes en 4.0.7 ou antérieur, votre site est ou a été exposé.
Important : dépublier ou désactiver le composant ne suffit pas à vous protéger, et surtout, mettre à jour ne retire pas un éventuel fichier malveillant déjà déposé avant la correction. Si votre site a tourné en version vulnérable, il faut le faire vérifier.
Comment savoir si votre site a déjà été attaqué ?
Les attaques étaient automatisées : un robot identifié sous le nom icagenda-batch/1.0 parcourait le web à la recherche de sites iCagenda à compromettre. Les signes d'une intrusion réussie : des fichiers PHP inattendus dans les dossiers d'images ou de médias, des comptes administrateurs que vous n'avez pas créés, ou un comportement anormal du site. Détecter ces traces demande un œil expert — c'est exactement ce que couvre notre diagnostic.
Ce n'est pas un cas isolé
La faille iCagenda s'inscrit dans une série d'attaques visant les composants tiers de Joomla : l'éditeur JCE, SP Page Builder et d'autres ont été touchés par le même type de faille ces dernières semaines. Le point commun ? Ce sont presque toujours des extensions installées il y a longtemps, que plus personne ne surveille. Pour comprendre ce phénomène de fond, lisez notre analyse de la faille critique de l'éditeur JCE.
Que faire maintenant ?
Mettez iCagenda à jour vers la 4.0.8 sans attendre, c'est l'urgence. Puis faites contrôler votre site pour vérifier qu'aucune intrusion n'a eu lieu avant la correction. Et pour ne plus dépendre du hasard, envisagez une surveillance régulière. Si vous gérez le site d'une association ou d'une collectivité et que tout cela vous dépasse, c'est normal : c'est notre métier, pas le vôtre.
