Mattermost Server : 7 bulletins de sécurité, mise à jour à programmer cette semaine
Le 22 avril 2026, Mattermost a publié 7 bulletins de sécurité (MMSA-2026-00620 à 00648) corrigeant des vulnérabilités dans Mattermost Server. Le CERT-FR a relayé l'alerte (CERTFR-2026-AVI-0485). Si vous hébergez Mattermost vous-même comme alternative à Slack, patcher cette semaine est la bonne pratique.
- Référence : CERTFR-2026-AVI-0485, 7 bulletins MMSA
- Impact : non spécifié par l'éditeur (à considérer comme moyen à élevé)
- Versions sûres : 10.11.15, 11.4.5, 11.5.4, 11.6.1
- Action : patch self-hosted cette semaine. Mattermost Cloud : rien à faire.
Pourquoi Mattermost est sensible
Mattermost est fréquemment choisi par les PME tech qui veulent une alternative à Slack pour des raisons de souveraineté ou de coût (auto-hébergement). On y retrouve les mêmes cas d'usage : discussions par canaux, partage de fichiers, intégrations CI/CD, alerting. Le contenu : conversations internes critiques (architecture, secrets, incidents en cours), documents partagés, intégrations sensibles (alertes Datadog, déploiements GitHub).
Une compromission de Mattermost donne potentiellement accès à toute la communication de votre équipe technique. C'est un actif à protéger comme un wiki interne.
Versions affectées et patches
| Branche | Versions affectées | Patch |
|---|---|---|
| 10.11.x (LTS) | avant 10.11.15 | 10.11.15 |
| 11.4.x | avant 11.4.5 | 11.4.5 |
| 11.5.x | avant 11.5.4 | 11.5.4 |
| 11.6.x | avant 11.6.1 | 11.6.1 |
Mattermost Cloud (cloud.mattermost.com) : patches appliqués automatiquement par l'éditeur. Aucune action client.
Êtes-vous concerné ?
Si vous répondez OUI à au moins une question, agissez cette semaine :
- Hébergez-vous Mattermost vous-même (sur un serveur dédié, container Docker, ou Kubernetes) ?
- L'instance est-elle accessible depuis internet (workspace.mondomaine.com) ?
- L'instance contient-elle des conversations sensibles (architecture, secrets, incidents) ?
- Avez-vous des intégrations actives (GitHub, Jira, Datadog, PagerDuty) avec Mattermost ?
Quoi faire concrètement
- 1Identifier la version : se connecter en admin Mattermost, System Console > About. La version est en haut de la page.
- 2Sauvegarder la base de données et le file storage avant le patch. Mattermost utilise PostgreSQL ou MySQL pour la base, et un file storage local ou S3 pour les fichiers attachés. Backup les deux.
- 3Choisir la bonne branche cible : si vous êtes en 10.11.x (LTS), rester sur LTS et patcher en 10.11.15. Si vous êtes en 11.x, monter vers la version patchée correspondante (11.4.5, 11.5.4 ou 11.6.1).
- 4Appliquer le patch : si Docker / Kubernetes, mettre à jour le tag d'image et redéployer. Si bare-metal, suivre la procédure officielle (téléchargement du tarball, arrêt du service, remplacement, redémarrage). Indisponibilité ~2 minutes.
- 5Vérifier les intégrations critiques après patch (webhooks Datadog, GitHub, alerting). Une mise à jour mineure ne casse en principe rien, mais une vérification sur les canaux principaux ne coûte rien.
Pour aller plus loin
Mattermost auto-hébergé est un actif (A.5.9), à patcher (A.8.8) et sauvegarder (A.8.13).
Si Mattermost contient des informations classées (cf. A.5.12 Classification), une compromission a un impact direct sur la confidentialité (A.5.10 Acceptable use). L'auditeur COFRAC le considère comme un asset critique.
Voir l'index Annexe A