Archives par mot-clé : Microsoft

Cybersécurité, Mise à jour, Patch

Septembre : Zero Day en amont, Patch Tuesday plus calme

Deux Zero Day Android, une faille WhatsApp et une vulnérabilité WinRAR ont marqué septembre. Le Patch Tuesday s’annonce plus sobre, mais Windows et Adobe restent des priorités.

Le mois de septembre a été rythmé par plusieurs vulnérabilités Zero Day découvertes avant le Patch Tuesday : deux failles critiques dans Android, une brèche dans WhatsApp et une autre dans WinRAR. Microsoft publie ensuite 81 correctifs, dont huit jugés critiques et deux déjà divulgués publiquement. Adobe diffuse en parallèle neuf mises à jour couvrant 22 CVE, dont certaines touchant Acrobat Reader, ColdFusion et Premiere Pro. Malgré un Patch Tuesday relativement calme, la pression reste forte : l’exploitation active des Zero Day, conjuguée à une attaque de la chaîne d’approvisionnement via Drift AI et Salesforce, rappelle l’ampleur de la surface de menace.

Zéro Day avant le Patch Tuesday

Les jours précédant le Patch Tuesday de septembre ont été agités. Deux vulnérabilités critiques dans Android (CVE-2025-38352 et CVE-2025-48543) ont été exploitées activement. Elles s’ajoutent à une faille Zero Day dans WhatsApp (CVE-2025-55177) et à une vulnérabilité similaire dans WinRAR (CVE-2025-8088). Ces quatre incidents suffisent à reconfigurer l’agenda des équipes de sécurité. Parallèlement, une attaque visant la chaîne d’approvisionnement a touché l’agent conversationnel Drift AI, exposant des données de clients Salesforce. L’ensemble illustre la multiplication des vecteurs d’attaque, allant des applications mobiles aux logiciels tiers en passant par les intégrations cloud.

Microsoft a corrigé 81 nouvelles vulnérabilités ce mois-ci, dont huit classées critiques. Parmi elles figurent cinq exécutions de code à distance, deux élévations de privilèges et une divulgation d’informations, toutes affectant Windows ou Office. Deux vulnérabilités avaient déjà été rendues publiques. La première, CVE-2025-55234, concerne le protocole SMB de Windows. Elle offre une élévation de privilèges et affiche un score CVSS de 8,8. Microsoft la classe comme importante, avec un niveau de maturité de code non prouvé. La seconde, CVE-2024-21907, est liée à Newtonsoft.Json et touche SQL Server 2016 à 2019. Elle permet un déni de service à distance, selon l’usage de la bibliothèque. Là encore, l’évaluation du risque recommande de la traiter comme importante. Ces deux divulgations montrent que les failles connues circulent rapidement, augmentant le risque d’exploitation opportuniste.

Mises à jour Adobe et priorités de septembre

Adobe a publié neuf mises à jour couvrant 22 CVE, dont 12 critiques. Les produits concernés incluent Acrobat Reader, Premiere Pro, After Effects, Commerce, ColdFusion, Experience Manager, Dreamweaver et deux outils de modélisation 3D. Adobe attribue une priorité 1 à ColdFusion et une priorité 2 à Commerce. Les autres mises à jour sont classées en priorité 3, donc moins urgentes. La hiérarchisation proposée par Adobe renvoie à l’usage intensif de certaines plateformes en production. Pour ce mois de septembre, les équipes de sécurité doivent donc d’abord traiter les Zero Day détectées avant le Patch Tuesday. Ensuite, elles peuvent planifier les mises à jour Microsoft et Adobe dans le cadre des opérations de maintenance mensuelles. L’absence de nouvelles Zero Day dans le Patch Tuesday allège la charge immédiate, mais l’intensité des incidents précédents rappelle que la vigilance ne peut pas se relâcher.

La séquence de septembre montre un contraste entre l’intensité des Zero Day découvertes avant le Patch Tuesday et la relative stabilité des correctifs officiels. Une question demeure : les équipes de sécurité peuvent-elles maintenir une priorisation efficace face à la convergence des menaces mobiles, logicielles et cloud ?

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Espionnage Spy, Piratage

Amazon déjoue une attaque sophistiquée d’APT29

Amazon a bloqué une opération de watering-hole d’APT29, visant à subtiliser des identifiants Microsoft grâce à des sites compromis, du JavaScript obfusqué et des redirections sélectives.

Amazon a neutralisé une campagne d’APT29, groupe lié au renseignement russe, qui exploitait des sites web compromis pour piéger des connexions Microsoft. Les assaillants utilisaient du JavaScript obfusqué et des mécanismes de redirection conditionnelle afin de tromper une partie des visiteurs. Près de 10 % du trafic était renvoyé vers des domaines contrôlés par l’attaquant, imitant Cloudflare pour capter les identifiants via le flux d’authentification par code d’appareil de Microsoft. Amazon a isolé les instances malveillantes et collaboré avec Microsoft et Cloudflare pour interrompre les infrastructures frauduleuses. Aucun système AWS n’a été compromis. Cette opération illustre le raffinement technique d’APT29 et la réponse coordonnée nécessaire pour contrer ces campagnes.

Attaque sur des sites légitimes

En août, plusieurs sites web authentiques ont été piégés par l’ajout d’un script JavaScript malveillant. Ce code, fortement obfusqué, recourait à l’encodage base64 pour masquer ses fonctions et compliquer l’analyse. Sa mission : déterminer si l’utilisateur devait être redirigé vers une infrastructure contrôlée par APT29. Seule une minorité de visiteurs, environ 10 %, était ciblée, réduisant le risque de détection. Les victimes aboutissaient sur un domaine imitant une vérification Cloudflare, notamment findcloudflare[.]com. Cette fausse étape permettait d’exploiter le flux d’authentification par code de périphérique de Microsoft et d’intercepter les tentatives de connexion.

L’activité a été repérée sur des instances EC2 utilisées à des fins malveillantes. Amazon a immédiatement isolé ces serveurs, bloqué leurs communications et engagé une coopération avec Cloudflare et Microsoft. Ensemble, ils ont procédé à la désactivation rapide des domaines frauduleux. Chaque fois qu’APT29 tentait de rétablir son infrastructure avec de nouveaux serveurs ou domaines, l’alliance technique permettait une coupure immédiate. Amazon a assuré qu’aucun système interne n’avait été touché par la campagne.

Tactiques techniques et sophistication

Les techniques employées confirment le niveau avancé d’APT29. Le JavaScript obfusqué rendait son contenu difficile à déchiffrer, dissimulant les instructions de redirection. Des redirections côté serveur permettaient d’alterner les comportements selon l’adresse IP, l’agent utilisateur ou le fuseau horaire du visiteur. L’usage de cookies servait à limiter la fréquence des redirections, empêchant un analyste de reproduire facilement le scénario d’attaque. Cette approche réduisait fortement les traces visibles et rendait l’infection plus persistante. Enfin, la rotation d’infrastructures, avec migration rapide entre domaines et serveurs compromis, ajoutait une résilience opérationnelle. Ces choix tactiques révèlent un objectif clair : espionner durablement sans attirer l’attention des défenses automatisées.

APT29, affilié au SVR russe, multiplie les campagnes contre les cibles stratégiques. Après des tentatives de phishing imitant AWS en 2024 et une campagne contre chercheurs et universitaires en 2025, le groupe renforce ses méthodes. Le recours à l’obfuscation avancée et aux redirections sélectives montre une stratégie d’ingénierie discrète, adaptée aux environnements cloud et aux services massivement utilisés. L’objectif reste constant : collecter des identifiants pour pénétrer des réseaux sensibles.

Les autorités américaines ont saisi deux domaines utilisés par le service de renseignement russe SVR (APT29/Cozy Bear) dans une vaste campagne de piratage. En mai 2021, les attaquants ont compromis un compte de l’USAID sur Constant Contact pour envoyer près de 3 000 e-mails piégés à plus de 150 organisations dans 24 pays. Les liens redirigeaient vers theyardservice[.]com, qui distribuait un malware installant Cobalt Strike. Les communications passaient aussi par worldhomeoutlet[.]com. Déjà en mai 2018, les États-Unis avaient saisi des domaines liés au botnet VPNFilter d’APT28. Microsoft a mené des actions similaires en 2018 et 2021.

L’affaire démontre la capacité d’APT29 à développer des outils furtifs et l’importance d’une veille proactive pour détecter l’obfuscation et les redirections conditionnelles. Jusqu’où ces techniques d’évasion, à la frontière entre espionnage discret et attaques massives, peuvent-elles encore progresser face aux systèmes de défense automatisés ?

Cybersécurité, Entreprise, Securite informatique

Vulnérabilité zero-day critique CVE-2025-53770 : Microsoft et Google alertent sur une menace active visant SharePoint

Microsoft a diffusé une alerte d’urgence à destination de ses clients concernant la faille de sécurité identifiée sous le nom CVE-2025-53770, actuellement exploitée de manière active sur les instances on-premises de Microsoft SharePoint.

Les équipes du Google Threat Intelligence Group ont détecté plusieurs attaques en cours ciblant cette vulnérabilité, qui n’a, à ce jour, pas encore fait l’objet d’un correctif officiel. Selon les analyses menées, les attaquants déploient des webshells sur les serveurs compromis, accédant ensuite à des données cryptographiques sensibles stockées sur ces mêmes infrastructures. Ce mode opératoire confère aux cybercriminels un accès persistant et non authentifié, complexifiant considérablement la détection de la compromission.

« Les intrusions observées montrent que les acteurs malveillants visent spécifiquement l’implantation de webshells et l’exfiltration de secrets cryptographiques critiques », souligne l’un des rapports techniques issus des investigations menées par Google Threat Intelligence Group.

Face à la gravité de la menace, Microsoft a publié des mesures d’atténuation immédiates et recommande de les appliquer en urgence, notamment pour les organisations dont les serveurs SharePoint on-premises sont exposés à Internet. Les versions cloud de la plateforme, à savoir SharePoint Online au sein de Microsoft 365, ne sont pas concernées par cette vulnérabilité.

Les premiers éléments techniques publiés indiquent que la faille CVE-2025-53770 permet une prise de contrôle à distance d’un serveur SharePoint vulnérable, sans nécessité d’authentification préalable. Cette caractéristique facilite la propagation de l’attaque et son exploitation à grande échelle. Selon les recommandations des experts, il est impératif de partir du principe qu’un serveur exposé a potentiellement déjà été compromis, et d’engager sans délai des actions de vérification et de remédiation.

« Il ne s’agit pas simplement d’appliquer le correctif et de passer à autre chose. Les organisations doivent immédiatement déployer des mesures d’atténuation, rechercher activement des signes d’intrusion, et prévoir des actions de remédiation approfondies », précise Charles Carmakal, Chief Technology Officer de Mandiant Consulting, rattaché à Google Cloud.

Au moment de la publication de l’alerte, Microsoft n’a pas encore diffusé de correctif officiel pour la vulnérabilité CVE-2025-53770, mais recommande l’application de filtres et de restrictions réseau spécifiques pour limiter l’exposition des serveurs. Les recommandations actuelles incluent la désactivation de l’accès public à SharePoint on-premises, le durcissement des contrôles d’accès, et la surveillance des journaux d’activité afin de détecter toute activité anormale.

« Les attaques en cours démontrent la capacité des cybercriminels à adapter rapidement leurs techniques et à contourner les protections existantes », indique un rapport de Microsoft, insistant sur la nécessité d’une vigilance accrue.

L’analyse des compromissions déjà constatées révèle l’utilisation de webshells personnalisés, facilitant l’exfiltration de fichiers chiffrés, de certificats, de clés privées et d’autres secrets indispensables au fonctionnement sécurisé des environnements Microsoft SharePoint. Ce mode opératoire complique la détection des attaques, les fichiers malveillants étant fréquemment dissimulés au sein de répertoires légitimes ou sous des noms anodins.

La chronologie de la campagne d’attaque montre une accélération notable des tentatives d’exploitation depuis la fin de la semaine dernière, les attaquants adaptant leurs charges utiles en temps réel pour contourner les premières mesures d’atténuation publiées par Microsoft et ses partenaires. Plusieurs entreprises et administrations internationales ont d’ores et déjà signalé des tentatives d’accès non autorisées, ainsi que des traces de manipulation de fichiers critiques sur leurs infrastructures SharePoint.

« L’exploitation massive et continue de cette faille justifie la publication rapide d’un correctif d’urgence hors cycle de publication habituel », estime Charles Carmakal.

Par ailleurs, Microsoft rappelle que la vulnérabilité CVE-2025-53770 ne concerne pas les instances de SharePoint Online intégrées à Microsoft 365. Seules les versions hébergées localement (on-premises) sont impactées par la faille, ce qui restreint la surface d’attaque, mais impose une réactivité maximale aux administrateurs de ces environnements.

Les experts en sécurité recommandent également de vérifier l’intégrité des fichiers et des processus système sur les serveurs potentiellement exposés, d’analyser la présence de webshells, ainsi que de surveiller les flux réseau sortants inhabituels, signes possibles d’une exfiltration de données. Des outils spécialisés permettent de détecter certaines signatures spécifiques aux webshells utilisés dans le cadre de cette campagne, mais la diversité des implants observés nécessite une vigilance constante et des analyses approfondies.

« Les webshells implantés confèrent un accès persistant aux serveurs compromis, ouvrant la voie à des campagnes d’exfiltration de longue durée », rappelle un rapport technique relayé par les équipes de Google Threat Intelligence Group.

En complément des mesures techniques, plusieurs recommandations organisationnelles ont été formulées, telles que l’isolement temporaire des serveurs suspects, la rotation des clés et certificats potentiellement exposés, ainsi que la notification des utilisateurs concernés en cas de compromission avérée.

La collaboration entre Microsoft, Google Threat Intelligence Group et d’autres partenaires du secteur vise à accélérer le développement et la diffusion du correctif, mais aussi à sensibiliser les responsables informatiques aux risques encourus et à la nécessité d’une veille permanente face à l’évolution des menaces.

« L’exploitation de CVE-2025-53770 permet un accès non authentifié à des données cryptographiques sensibles, représentant un risque majeur pour la sécurité des organisations visées », souligne un communiqué officiel de Microsoft, publié ce week-end.

La campagne en cours met en lumière l’importance des processus de gestion de crise et d’analyse post-compromission, afin de limiter l’impact des attaques et de restaurer la confiance dans les systèmes d’information affectés. Les organismes ayant identifié des traces de compromission sont invités à contacter les équipes de réponse à incident et à procéder à un audit complet de leurs infrastructures SharePoint.

Les principales institutions de cybersécurité, dont l’Agence nationale de la sécurité des systèmes d’information, relaient les alertes et rappellent l’importance de n’exposer aucun service critique directement sur Internet, notamment lorsque des vulnérabilités non corrigées sont signalées.

La publication prochaine d’un correctif d’urgence est attendue par l’ensemble de la communauté, qui reste mobilisée pour limiter la diffusion de l’attaque et réduire le risque d’exfiltration de données. Les administrateurs sont invités à consulter régulièrement les bulletins de sécurité de Microsoft et à se tenir prêts à appliquer immédiatement toute mise à jour publiée.

« Les acteurs malveillants adaptent constamment leurs techniques pour exploiter de nouvelles failles dès leur divulgation », rappellent les spécialistes, insistant sur la nécessité d’une adaptation permanente des stratégies de défense.

Pour l’heure, aucune estimation précise du nombre de serveurs compromis n’a été officiellement communiquée, mais les observations recueillies montrent que la campagne vise en priorité des organisations détenant des informations cryptographiques à haute valeur ajoutée, telles que des certificats SSL/TLS, des jetons d’authentification et des clés de signature électronique.

L’alerte de ce week-end marque une étape supplémentaire dans la multiplication des attaques ciblant les environnements collaboratifs d’entreprise, mettant en évidence l’intérêt croissant des cybercriminels pour les serveurs SharePoint on-premises et les données sensibles qu’ils hébergent.

Cybersécurité, Entreprise, Particuliers

Microsoft enterre le mot de passe

Microsoft franchit une nouvelle étape dans la sécurité numérique : désormais, tous les nouveaux comptes seront créés sans mot de passe par défaut.

La firme de Redmond poursuit sa révolution en matière de cybersécurité. À l’heure où les cyberattaques deviennent de plus en plus sophistiquées, Microsoft entend bien se positionner à l’avant-garde d’une nouvelle ère sans mot de passe. Depuis mars, l’entreprise a commencé à déployer une interface de connexion repensée, pensée pour une authentification plus fluide, plus rapide, et surtout plus sûre. Désormais, tous les nouveaux comptes Microsoft seront créés sans mot de passe par défaut, une décision stratégique destinée à limiter drastiquement les attaques par hameçonnage, la force brute ou le bourrage d’identifiants. Une transformation majeure qui pourrait bien signer la fin du règne du mot de passe.

Dans les coulisses de cette évolution, un constat simple : les mots de passe ne sont plus adaptés à la menace. Ils sont oubliés, réutilisés, faibles ou partagés. Et, surtout, ils sont devenus une cible de choix pour les cybercriminels. En s’appuyant sur les clés d’accès – ces identifiants chiffrés et biométriques intégrés aux appareils modernes – Microsoft propose une alternative plus sécurisée, mais aussi plus intuitive. Grâce à cette technologie, l’utilisateur pourra se connecter avec son empreinte digitale, la reconnaissance faciale ou un code PIN local, sans jamais avoir à saisir un mot de passe classique. Ce changement, qui commence avec les nouveaux comptes, s’étendra aussi aux utilisateurs existants, qui pourront choisir de supprimer définitivement leur mot de passe depuis les paramètres de leur compte.

Dans une déclaration conjointe, Joy Chik, présidente de l’identité et de l’accès réseau chez Microsoft, et Vasu Jakkal, vice-président de la sécurité, expliquent que cette simplification de l’expérience utilisateur s’inscrit dans une vision à long terme. Microsoft veut encourager une adoption massive des passkeys, en les rendant non seulement plus sécurisées, mais également plus simples à utiliser au quotidien. Dès la première connexion, les utilisateurs seront incités à créer leur propre clé d’accès, qui leur permettra ensuite de se reconnecter rapidement et en toute sécurité, sans manipulation fastidieuse.

Les nouveaux utilisateurs disposeront de plusieurs options pour se connecter à leur compte sans mot de passe, et n’auront plus besoin d’en saisir un.

Ce changement de paradigme ne se limite pas à un simple ajustement ergonomique. Il répond à une problématique de fond : celle de la protection des données personnelles dans un environnement numérique où les menaces se multiplient. Le bourrage d’identifiants, technique consistant à tester en masse des combinaisons d’identifiants dérobés, représente à lui seul un des vecteurs d’attaque les plus fréquents. Supprimer les mots de passe, c’est donc aussi priver les hackers de leur outil principal.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Dans ce contexte, les passkeys apparaissent comme un standard d’avenir. Basées sur le protocole FIDO2, soutenu par des acteurs majeurs comme Apple, Google ou Microsoft, ces clés numériques lient l’identifiant à l’appareil de l’utilisateur et ne quittent jamais ce dernier. Ainsi, même en cas de compromission d’un serveur, aucune information exploitable ne peut être réutilisée ailleurs. Un bond en avant en termes de sécurité, mais aussi de praticité, puisque ces systèmes permettent une connexion quasi instantanée, sans effort cognitif.

Selon les données internes partagées par Microsoft, les premières phases de test ont déjà démontré une adoption prometteuse. En réduisant l’usage du mot de passe de plus de 20 %, la firme indique que les utilisateurs sont non seulement plus enclins à opter pour une clé d’accès, mais qu’ils apprécient également une expérience de connexion plus fluide. Un indicateur clé alors que l’entreprise prépare la disparition progressive du mot de passe traditionnel à moyen terme.

« À mesure que davantage de personnes utilisent Passkey, le nombre d’authentifications par mot de passe continuera de diminuer jusqu’à ce que nous puissions progressivement supprimer complètement la prise en charge des mots de passe.« 

Mais ce tournant pose aussi des questions essentielles. Quels sont les risques si l’appareil biométrique est volé ou compromis ? Que se passe-t-il en cas de perte d’accès physique à son téléphone ou à son ordinateur ? Microsoft, tout comme les autres membres de l’Alliance FIDO, assure avoir intégré des mécanismes de récupération robustes, via des sauvegardes chiffrées dans le cloud, des options secondaires d’authentification ou des dispositifs de secours. Toutefois, l’adhésion massive à ce modèle dépendra de la capacité des entreprises à convaincre le grand public que la sécurité est non seulement renforcée, mais aussi durable et résiliente face à de nouveaux types de menaces.

L’initiative de Microsoft intervient dans un contexte où la guerre contre les mots de passe s’intensifie. Apple, de son côté, a intégré les passkeys à ses systèmes iOS et macOS, permettant une synchronisation entre les appareils via le trousseau iCloud. Google a également activé par défaut la connexion par clé d’accès sur ses services phares, tels que Gmail et YouTube. Ensemble, ces géants du numérique tentent d’imposer une norme mondiale qui mettrait fin aux pratiques actuelles jugées obsolètes.

La dimension économique n’est pas à négliger. La cybersécurité représente un marché colossal, estimé à plus de 170 milliards d’euros en 2024. En s’engageant dans cette voie, Microsoft entend se positionner comme leader d’une nouvelle génération de solutions de sécurité intégrées. La suppression du mot de passe s’inscrit ainsi dans une stratégie plus large, qui mise sur l’intelligence artificielle, la protection proactive des identités numériques et une architecture « zero trust », où chaque connexion est vérifiée indépendamment du contexte.

Mais l’entreprise devra relever plusieurs défis : assurer la compatibilité avec l’ensemble de l’écosystème numérique, convaincre les utilisateurs réticents au changement, et garantir une continuité de service même en cas de perte ou de dysfonctionnement des dispositifs d’authentification biométrique. Autant de conditions indispensables pour que cette transition vers un monde sans mot de passe ne devienne pas une source de frustration, mais bien une avancée tangible vers un internet plus sûr.

Microsoft ouvre donc un nouveau chapitre de l’histoire numérique, dans lequel le mot de passe, pilier de la cybersécurité depuis plus d’un demi-siècle, pourrait devenir un vestige du passé. Une révolution discrète mais déterminante, qui pourrait redéfinir nos usages quotidiens et notre rapport à l’identité numérique.

Alors que les autres grands acteurs du numérique suivent la même trajectoire, une question demeure : les utilisateurs sont-ils prêts à abandonner définitivement le mot de passe au profit d’un futur biométrique ? Perdre un mot de passe est certes gênant, mais se remplace ! Se faire voler sa personne numérique, est une toute autre histoire.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Mise à jour, Patch

Sécurité en alerte : Microsoft corrige 126 failles, dont une déjà exploitée

Microsoft a publié une mise à jour de sécurité massive pour corriger 126 vulnérabilités, dont une, critique, est déjà activement exploitée par des groupes de hackers.

C’est un rituel désormais bien rôdé : chaque deuxième mardi du mois, Microsoft déploie son « Patch Tuesday », la grande mise à jour mensuelle de sécurité de ses produits. Mais celle d’avril 2025 a fait l’effet d’un coup de semonce dans le secteur. Avec pas moins de 126 failles comblées, dont 11 jugées critiques, 112 importantes et 2 de moindre gravité, le géant de Redmond montre l’ampleur des menaces qui pèsent aujourd’hui sur les utilisateurs de ses systèmes. Surtout, une vulnérabilité particulièrement dangereuse, identifiée sous le code CVE-2025-29824, attire toutes les attentions : déjà exploitée activement dans la nature, elle concerne un composant central de Windows et laisse des millions d’appareils à la merci de pirates.

La faille CVE-2025-29824 touche le pilote Windows CLFS (Common Log File System), un composant chargé de la gestion des journaux système. La nature de la brèche est connue : il s’agit d’une erreur de type use-after-free, un bug de gestion de mémoire bien documenté qui permet, dans certains cas, à un attaquant local de prendre le contrôle complet de la machine. Le plus inquiétant est que cette faille ne nécessite pas de droits administrateur pour être exploitée. Un simple accès local suffit pour élever ses privilèges au niveau système, ouvrant la voie à toutes les dérives, notamment l’installation de rançongiciels. Microsoft a confirmé que cette vulnérabilité était déjà utilisée dans des attaques réelles.

La faille critique CVE-2025-29824, activement exploitée, permet à un utilisateur local d’obtenir un contrôle total sur un système Windows sans droits d’administrateur.

Ce type d’attaque n’en est pas à son premier coup d’essai. Depuis 2022, c’est la sixième vulnérabilité du même genre exploitée dans CLFS, ce qui souligne une faiblesse structurelle dans le composant. En réaction à la menace, la CISA (Cybersecurity and Infrastructure Security Agency) américaine a ajouté cette faille à son catalogue des vulnérabilités activement exploitées. Elle impose aux agences fédérales de déployer le correctif avant le 29 avril 2025, une mesure exceptionnelle qui traduit l’urgence de la situation.

Mais tout le monde ne peut pas encore respirer. Le correctif de Microsoft n’est pas disponible pour certaines versions de Windows 10, en particulier les éditions 32 et 64 bits, toujours largement utilisées dans le monde professionnel comme chez les particuliers. Cela signifie que des millions d’appareils restent vulnérables à cette faille, sans solution immédiate. Pour ces utilisateurs, la seule défense reste la prudence et la limitation des accès physiques aux machines.

Outre CVE-2025-29824, la vague de correctifs d’avril couvre un large éventail de services et d’applications critiques. Des failles ont été corrigées dans des protocoles d’authentification comme Kerberos, dans le bureau à distance RDP, le service LDAP, la suite bureautique Microsoft Office (dont Excel), ainsi que dans la pile réseau TCP/IP de Windows et l’hyperviseur Hyper-V. Plusieurs de ces vulnérabilités permettaient l’exécution de code à distance, ce qui, dans les mains d’un pirate, peut se traduire par une prise de contrôle totale du système ciblé.

Certaines failles corrigées ce mois-ci permettaient l’exécution de code à distance, ouvrant la porte à des compromissions totales de système.

Ces failles, combinées à la montée en puissance des attaques par rançongiciel, posent de sérieuses questions sur la résilience des infrastructures informatiques. Aujourd’hui, les cyberattaques ne visent plus seulement les grandes entreprises ou les institutions : elles touchent aussi les PME, les collectivités, les hôpitaux et les particuliers. Chaque faille non corrigée devient une porte d’entrée potentielle pour des groupes cybercriminels de plus en plus organisés, souvent liés à des États.

La publication de cette mise à jour n’est pas un événement isolé. Avril 2025 a vu un véritable branle-bas de combat dans l’ensemble de l’industrie technologique. Outre Microsoft, des entreprises comme Adobe, Google, Apple, Cisco, HP, AMD, Mozilla, Fortinet, SAP, Zoom et les éditeurs de distributions Linux ont également publié des mises à jour de sécurité importantes. Cela montre à quel point les failles sont omniprésentes, souvent découvertes par des chercheurs en cybersécurité, mais aussi parfois après avoir été utilisées à mauvais escient.

Pour les professionnels de l’IT et les responsables de la sécurité, cette cascade de correctifs signifie des heures de travail supplémentaires pour tester, déployer et vérifier les mises à jour dans des environnements parfois complexes. Le moindre oubli, le moindre retard peut avoir des conséquences dramatiques. Dans ce contexte, les politiques de gestion des correctifs (patch management) deviennent une composante essentielle de la stratégie de cybersécurité d’une organisation.

Microsoft, de son côté, continue d’améliorer ses systèmes de détection et de réponse face aux menaces. L’entreprise s’appuie sur des données récoltées à travers son vaste écosystème pour repérer rapidement les nouvelles attaques. Mais face à l’ingéniosité des cybercriminels, la simple réactivité ne suffit plus. Il faut une approche proactive, avec des audits réguliers, une réduction de la surface d’attaque et une sensibilisation constante des utilisateurs aux bons comportements.

À moyen terme, la dépendance à des composants anciens et parfois mal sécurisés comme CLFS interroge sur la durabilité des architectures logicielles actuelles. Faut-il réécrire des pans entiers du code de Windows pour éviter les mêmes erreurs ? Est-il encore viable de maintenir autant de versions du système d’exploitation en parallèle ? Ces questions, stratégiques, dépassent le cadre technique et engagent l’ensemble de l’écosystème numérique.

Enfin, cette actualité rappelle une réalité trop souvent ignorée : la cybersécurité n’est plus un sujet réservé aux experts. C’est une préoccupation quotidienne, qui touche directement la vie des utilisateurs et la stabilité des entreprises. Face à des menaces de plus en plus sophistiquées, la seule stratégie gagnante reste la vigilance.

Entreprise, Linux

Microsoft coupe les ponts : Huawei bascule sur HarmonyOS et Linux

Fin mars 2025, un tournant majeur s’opère pour Huawei. La licence qui permettait au géant chinois d’équiper ses appareils du système d’exploitation Windows arrive à expiration.

Dès avril 2025, l’entreprise ne pourra plus commercialiser ses ordinateurs portables et autres terminaux avec l’OS de Microsoft. Ce bouleversement s’inscrit dans une stratégie plus large de Huawei, qui cherche à s’affranchir des technologies américaines en développant ses propres solutions logicielles et matérielles.

Cette transition, bien que soudaine, n’est pas une surprise. Dès septembre 2024, Huawei annonçait son intention de déployer HarmonyOS, son propre système d’exploitation, sur ses futures générations d’ordinateurs portables. Le PDG Yu Zhendong l’avait d’ailleurs confirmé : l’objectif est clair, éliminer totalement la dépendance aux composants et logiciels américains. Aujourd’hui, cette vision se concrétise avec l’arrivée de modèles fonctionnant sous des systèmes basés sur Linux.

L’expansion de HarmonyOS et des alternatives chinoises

Huawei n’a pas attendu la fin de sa licence avec Microsoft pour prendre les devants. Selon My Drivers, une publication technologique chinoise, la firme a déjà intégré des alternatives à Windows dans ses nouveaux ordinateurs portables de la série MateBook. Ces derniers, désormais équipés de systèmes Linux modifiés ou de HarmonyOS, seront commercialisés aussi bien en Chine qu’à l’international. La mise à jour des catalogues officiels de la marque reflète d’ailleurs cette transition.

L’entreprise ne se contente pas d’un simple remplacement de système d’exploitation. Elle adopte une approche plus globale en favorisant l’usage de composants entièrement conçus et fabriqués en Chine. Un modèle récemment dévoilé illustre cette tendance : équipé d’un OS issu de développeurs chinois et de composants nationaux, il incarne la volonté de Huawei de renforcer son indépendance technologique. Cette démarche est particulièrement marquée sur le marché intérieur, où les produits 100 % chinois se multiplient.

Un impact limité en Chine, des incertitudes à l’international

Si en Chine, l’abandon de Windows devrait avoir peu d’impact sur les ventes de Huawei, la situation pourrait être plus délicate à l’international. Les utilisateurs sont habitués aux solutions de Microsoft, et le passage à HarmonyOS ou Linux pourrait freiner l’adoption des nouveaux produits de la marque hors du territoire chinois. Cependant, Huawei mise sur l’attrait de son écosystème intégré et sur la compatibilité grandissante de ses logiciels avec les standards mondiaux pour convaincre.

Il reste un dernier frein, et pas des moindres ! Un produit 100% Chinois peut laisser craindre un espionnage 100% « made in China ». Les ordinateurs seront équipés du modèle IA DeepSeek. Il sera entièrement intégré et utilisant le processeur Kunpeng et le système PC Hongmeng comme puces et systèmes d’exploitation.

Cybersécurité, Microsoft, Mise à jour, Patch

Une vulnérabilité bien connue de Microsoft Office a été exploitée six fois plus au cours deuxième trimestre de 2023

Des chercheurs ont constaté qu’une ancienne vulnérabilité de Microsoft Office gagne en popularité auprès des attaquants, qui l’exploitent pour cibler à la fois les particuliers et les entreprises.

Depuis le début de l’année 2023, la vulnérabilité CVE-2017-11882 a été exploitée près de 500 % plus souvent, affectant des milliers de personnes. Une autre vulnérabilité connue, CVE-2018-0802, semble être devenue « l’arme » la plus en vogue chez les cybercriminels, ayant été utilisée pour cibler plus de 130 000 utilisateurs. Étant donné que les anciennes versions des programmes Microsoft sont aujourd’hui encore utilisées et qu’elles constituent une cible très attrayante pour les attaquants, il est crucial d’installer une solution de sécurité fiable et d’effectuer les mises à jour régulièrement.

Tout au long du deuxième trimestre 2023, des chercheurs de Kaspersky ont détecté que plus de 11 000 utilisateurs ont été visés par des attaques exploitant une ancienne vulnérabilité du logiciel Microsoft Office, connue sous le nom de CVE-2017-11882. Cette vulnérabilité permet aux attaquants d’exploiter l’éditeur d’équation dans les documents Microsoft Office, pour exécuter un code malveillant sur l’appareil ciblé. Ce procédé leur permet d’installer des logiciels malveillants ou indésirables sur la machine affectée à l’insu de l’utilisateur. Pour exploiter la vulnérabilité, les attaquants peuvent procéder de plusieurs manières: soit en envoyant un fichier malveillant à une victime potentielle, soit en créant un site web avec le même type de fichier pour inciter les gens à l’ouvrir en utilisant des techniques d’ingénierie sociale.

Bien que la vulnérabilité ait été identifiée et corrigée depuis longtemps, les exploits ont augmenté de 483 % au cours du deuxième trimestre par rapport au premier trimestre de cette année. Cette tendance alarmante indique que même les anciennes vulnérabilités restent des points d’entrée efficaces pour attaquer à la fois les appareils des particuliers et les infrastructures informatiques des organisations.

Nombre d’utilisateurs attaqués via la vulnérabilité CVE-2017-11882 en 2023

« Les attaquants ont effectivement recommencé à utiliser cet exploit. Il est très probable qu’ils tentent de mettre en œuvre de nouvelles techniques d’obscurcissement afin d’échapper à la détection. Par exemple, ils pourraient essayer d’insérer de nouveaux types de données malveillantes dans les documents Microsoft Office. Toutefois, des solutions de sécurité éprouvées, conçues pour détecter les tentatives d’attaque de manière systématique, permettent de prévenir de telles attaques et de protéger les utilisateurs. Il est également essentiel d’installer les mises à jour et les correctifs des logiciels à temps« , commentent les experts.

Cette tendance a persisté au cours de cette période, les cybercriminels ayant continué à s’appuyer sur d’anciennes vulnérabilités des logiciels Microsoft comme vecteurs d’attaque. La vulnérabilité qu’ils ont le plus exploitée est CVE-2018-0802, avec laquelle ils ont ciblé plus de 130 000 personnes. L’exploitation de cette vulnérabilité suit généralement le même schéma que la CVE-2017-11882 susmentionnée, impliquant une corruption de la mémoire pouvant permettre à l’attaquant de contrôler le système à l’aide d’un fichier spécialement conçu à cet effet.

Les vulnérabilités CVE-2010-2568, CVE-2017-0199 et CVE-2011-0105 figurent également sur la liste des exploits les plus fréquemment détectés au cours du deuxième trimestre. La première implique l’exécution de code via un fichier LNK spécifiquement développé pour ces opérations, tandis que les deux dernières sont liées à la suite Microsoft Office.

Cybersécurité, Mise à jour, Patch

Les dernières mises à jour de sécurité de Microsoft : protégez-vous contre les vulnérabilités

Microsoft a récemment publié ses mises à jour mensuelles. Le lot de correctifs de juin 2023 résout un total de 78 failles, dont 38 pouvant potentiellement entraîner l’exécution de code à distance. Parmi ces failles, Microsoft en a identifié six comme étant critiques, pouvant causer des attaques de déni de service (DoS), des élévations de privilèges, et l’exécution arbitraire de code à distance.

La répartition des vulnérabilités corrigées se présente comme suit : 17 failles d’élévation de privilèges, 3 contournements de systèmes de protection, 32 vulnérabilités d’exécution de code à distance (RCE), 5 problèmes de divulgation d’informations, 10 attaques de déni de service (DoS), 10 tentatives de spoofing, et une faille spécifique à la version Chromium d’Edge.

Heureusement, cette fois-ci, aucune vulnérabilité zero-day n’a été signalée, ce qui permet aux administrateurs système de déployer les correctifs à leur propre rythme. Cependant, il est essentiel de souligner deux vulnérabilités particulièrement dangereuses qui nécessitent une attention immédiate :

CVE-2023-29357 : Cette faille concerne une élévation de privilèges dans Microsoft SharePoint Server. Selon Microsoft, cette vulnérabilité est exploitée dans des attaques, mais aucune information détaillée sur son exploitation n’a été divulguée.

CVE-2023-32031 : Cette vulnérabilité permet l’exécution de code à distance dans Microsoft Exchange Server. Un attaquant non authentifié peut exploiter cette faille pour exécuter un code malveillant dans le contexte du compte du serveur.

Les mises à jour de sécurité de Microsoft jouent un rôle crucial dans la protection des utilisateurs contre les vulnérabilités et les attaques potentielles. En installant rapidement ces correctifs, vous pouvez renforcer la sécurité de votre système et réduire les risques liés à l’exécution de code à distance, aux élévations de privilèges et aux autres formes d’attaques. Assurez-vous de rester à jour avec les dernières mises à jour de sécurité et de suivre les recommandations de Microsoft pour maintenir un environnement informatique sûr.

Cybersécurité

Microsoft corrige 75 vulnérabilités dont 8 critiques

Microsoft corrige 75 vulnérabilités dont 8 critiques.

Dans le cadre du Patch Tuesday de mai, Microsoft a corrigé 75 vulnérabilités dont 8 sont classées comme critiques, pouvant entraîner une RCE ou une élévation de privilèges et a publié un avis de sécurité (ADV220001) pour Azure en réponse à CVE-2022-29972, une vulnérabilité d’exécution de code à distance (RCE) Zero-Day. Le Patch Tuesday du mois comprend aussi des correctifs pour deux autres vulnérabilités 0Day, l’une connue pour être activement exploitée (CVE-2022-26925), l’autre pour être publiquement exposée (CVE-2022-22713). Microsoft a corrigé divers problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation.

Principales vulnérabilités Microsoft corrigées

L’avis de sécurité du mois-ci concerne de nombreux produits Microsoft, dont Azure, les outils pour développeurs (Developer Tools), les mises à jour de sécurité étendue (ESU), Exchange Server, Microsoft Office et Windows. Au total, ce sont 97 produits/versions Microsoft concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement), Security Update (Mise à jour de sécurité) et ServicingStackUpdate (Pile de maintenance du système d’exploitation).

CVE-2022-21978 | Vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,2/10. Pour que l’exploitation de cette vulnérabilité fonctionne, l’attaquant doit être identifié sur le serveur Exchange en tant que membre d’un groupe ayant des privilèges élevés. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-22012 et CVE-2022-29130 | Vulnérabilité d’exécution de code à distance (RCE) dans le protocole Windows LDAP

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce sur un serveur vulnérable. Si l’exploitation réussit, le code malveillant de l’attaquant peut alors être exécuté dans le cadre d’un compte SYSTEM. Cette vulnérabilité est uniquement exploitable si la politique LDAP MaxReceiveBuffer est configurée avec une valeur supérieure à celle par défaut. Les systèmes configurés avec la valeur par défaut de cette politique ne devraient pas être affectés. Pour plus d’informations, consulter : politiques LDAP de Microsoft. Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-22017 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter ces vulnérabilités, l’attaquant doit convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant peut exécuter du code sur le système de la victime dans le contexte de l’utilisateur ciblé. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26913 | Vulnérabilité de contournement de la fonction de sécurité dans l’authentification Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,4/10. L’attaquant qui parvient à exploiter cette vulnérabilité pourra lancer une attaque Man-in-the-Middle (MITM) et déchiffrer et lire ou bien modifier le trafic TLS entre le client et le serveur. La disponibilité de la machine attaquée n’est aucunement impactée. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-26923 | Vulnérabilité d’élévation de privilèges sur les Services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges. 
Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26937 | Vulnérabilité d’exécution de code à distance (RCE) au sein du système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Cette vulnérabilité peut être exploitée sur le réseau en passant un appel malveillant non authentifié auprès du service de système de fichiers réseau (NFS) afin de déclencher une exécution de code à distance (RCE). Cette vulnérabilité n’est pas exploitable dans NFSV4.1. Avant de mettre à jour votre version de Windows qui protège contre cette vulnérabilité, il est possible d’atténuer une attaque en désactivant les versions NFSV2 et NFSV3. Mais comme votre écosystème peut s’en trouver affecté, cette procédure ne doit être activée que sous la forme d’une atténuation temporaire. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29108 | Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter cette vulnérabilité, un attaquant doit être authentifié et avoir la permission de créer des pages. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29133 | Vulnérabilité d’élévation de privilèges dans le noyau Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Dans ce cas, une attaque pourra être lancée avec succès depuis un environnement d’exécution AppContainer à faibles privilèges. L’attaquant peut obtenir des privilèges élevés puis exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer. Évaluation d’exploitabilité : Exploitation moins probable .