Avec 165 vulnérabilités corrigées, Microsoft livre en avril son Patch Tuesday le plus chargé depuis le début de l’année. À vos mises à jour.

Patch Tuesday d’avril : Microsoft corrige 165 vulnérabilités, dont huit failles critiques et deux zero-day. © Nwz / Shutterstock
Patch Tuesday d’avril : Microsoft corrige 165 vulnérabilités, dont huit failles critiques et deux zero-day. © Nwz / Shutterstock

Après un Patch Tuesday de mars plutôt chargé, Microsoft signe son plus gros correctif de l’année. L’éditeur vient de déployer sa mise à jour de sécurité mensuelle pour les PC Windows 11 et Windows 10 encore couverts par l’ESU, et vous auriez tort de la négliger. Au total, elle corrige pas moins de 165 failles, dont un nombre impressionnant de vulnérabilités d’élévation de privilèges, huit failles critiques et deux zero-day.

SharePoint, Defender, deux zero-day et aucune bonne raison d’attendre

Bien évidemment, ce sont ces deux failles zero-day qui doivent vous pousser à installer ce Patch Tuesday sans trop tarder. Toutes deux étaient connues avant publication du correctif, mais l’une d’elles était en plus déjà exploitée dans des attaques réelles.

La plus urgente concerne donc CVE-2026-32201 (CVSS 6.5) et affecte Microsoft SharePoint Server. Officiellement classée comme une faille de spoofing, elle repose sur un défaut de contrôle des données reçues par SharePoint et permet à un attaquant non authentifié d’agir à distance sur un serveur exposé pour consulter et modifier des informations sensibles, sans affecter la disponibilité du service.

La seconde zero-day corrigée ce mois-ci, CVE-2026-33825 (CVSS 7.8), touche Microsoft Defender et permet une élévation de privilèges jusqu’au niveau SYSTEM, soit le plus haut niveau d’autorisation sur Windows. Pas d’exploitation signalée active pour le moment, mais dans la mesure où cette faille avait déjà été divulguée publiquement avant l’arrivée du patch, on peut raisonnablement penser qu’il ne s’agit que d’une question de temps. Le bug a été corrigé dans la version 4.18.26050.3011 de la plateforme antimalware de Defender, normalement distribuée automatiquement sur les machines concernées.

Une faille zero-day dans Microsoft Defender permet d'obtenir les doits SYSTEM sur la machine, n'attendez pas pour télécharger le patch. © Clubic
Une faille zero-day dans Microsoft Defender permet d'obtenir les doits SYSTEM sur la machine, n'attendez pas pour télécharger le patch. © Clubic

Huit failles critiques dans un Patch Tuesday déjà très chargé

En marge de ces deux failles zero-day, Microsoft a corrigé 93 failles d’élévation de privilèges, 13 contournements de fonctions de sécurité, une vingtaine de failles d’exécution de code à distance, au moins autant de vulnérabilités de divulgation d’informations, 10 dénis de service et un peu moins d’une dizaine de failles de spoofing.

Au milieu de ce lot, huit vulnérabilités critiques viennent encore alourdir l’addition, sept d’entre elles relevant d’exécution de code à distance, la dernière d’un déni de service. Ces failles concernent notamment Microsoft Office, Word, le client Remote Desktop, Active Directory, Windows TCP/IP et les extensions IKE, soit des composants suffisamment centraux pour éviter de traiter cette mise à jour comme une simple formalité.

Windows 11
  • Refonte graphique de l'interface réussie
  • Snap amélioré
  • Groupes d'ancrage efficaces
8 / 10
Télécharger
Lire le test
Foire aux questionsContenu généré par l’IA
Qu’appelle-t-on une vulnérabilité « zero-day » dans Windows ou l’écosystème Microsoft ?

Une zero-day est une faille de sécurité connue publiquement ou par des attaquants alors qu’aucun correctif n’est encore (ou n’était) disponible au moment de sa découverte. Le risque est plus élevé car les défenseurs n’ont pas de patch officiel à appliquer immédiatement, et les méthodes d’exploitation peuvent circuler vite. Certaines zero-day sont déjà activement exploitées, ce qui signifie qu’elles servent concrètement dans des attaques en cours. Une fois le correctif publié, la priorité devient de réduire la fenêtre d’exposition en appliquant rapidement la mise à jour sur les systèmes concernés.

Que signifie « élévation de privilèges jusqu’au niveau SYSTEM » sur Windows ?

L’élévation de privilèges désigne une attaque qui permet de passer d’un compte ou d’un processus peu privilégié à des droits plus élevés. Le compte SYSTEM correspond au niveau d’autorisation le plus puissant sur Windows, souvent supérieur à un administrateur local, car il donne un contrôle quasi total sur la machine. Une faille de ce type ne sert pas toujours à entrer initialement dans un PC, mais elle permet de prendre le contrôle complet après un premier accès (via phishing, malware, compte compromis, etc.). C’est aussi un accélérateur pour désactiver des protections, installer des services persistants ou accéder à des données normalement inaccessibles.

Que recouvrent les catégories « exécution de code à distance (RCE) » et « spoofing » dans les bulletins CVE ?

Une vulnérabilité d’exécution de code à distance (RCE) permet à un attaquant de lancer du code sur une machine cible à distance, souvent via un fichier piégé, un service exposé ou un protocole réseau. C’est l’une des classes de failles les plus graves, car elle peut mener à une compromission complète sans accès physique. Le spoofing, lui, concerne l’usurpation d’identité ou de contexte (ex. faire passer une requête, un service ou une source pour légitime) afin de tromper un utilisateur ou un système. Selon le composant visé, le spoofing peut faciliter l’accès à des données, contourner des contrôles, ou préparer une étape plus destructive comme une élévation de privilèges ou une RCE.