Bugs, Actualités

Le Patch Tuesday d'avril corrige deux vulnérabilités « zero-day », dont une actuellement exploitée

par Pieter Arntz | 15 avril 2026
Logo Microsoft

Le Patch Tuesday de ce mois-ci vise à corriger 167 failles de sécurité, dont deux failles « zero-day », l'une d'entre elles étant, à notre connaissance, activement exploitée dans la nature.

C'est pourquoi avril fait partie de ces mois où le « Patch Tuesday » s'apparente davantage à une mise à jour de l'ensemble de l'infrastructure, des serveurs et terminaux aux équipements réseau, en passant par les navigateurs et les appareils mobiles. Mais l'alternative reviendrait à laisser grande ouverte une longue liste de failles bien connues, que les pirates pourraient exploiter à leur guise.

Microsoft définit une faille « zero-day » comme « une faille dans un logiciel pour laquelle aucun correctif officiel ni aucune mise à jour de sécurité n'est encore disponible ». Dans le cas présent, l'une est activement exploitée et l'autre a été rendue publique, ce qui fait de ces deux problèmes des priorités absolues sur votre liste de tâches.

Voyons donc de plus près ces deux failles « zero-day ».

La vulnérabilité référencée sous le numéro CVE-2026-32201 (score CVSS de 6,5 sur 10) est un problème de validation incorrecte des entrées dans Microsoft Office SharePoint qui permet à un attaquant non autorisé de se faire passer pour un autre utilisateur sur un réseau.

Un pirate qui parviendrait à exploiter cette vulnérabilité pourrait consulter certaines informations sensibles et modifier les informations divulguées, mais ne pourrait pas restreindre l'accès à la ressource. En termes simples, cette faille pourrait être utilisée pour diffuser de fausses informations dans un environnement SharePoint de confiance. Cette vulnérabilité fait actuellement l'objet d'attaques dans la nature.

La deuxième faille « zero-day » de ce mois-ci, référencée sous le numéro CVE-2026-33825 avec un score CVSS de 7,8 sur 10, est une vulnérabilité de type « élévation de privilèges » (EoP) dans la plateforme anti-malware de Microsoft Defender. Elle permet à un attaquant local d'élever ses privilèges au niveau SYSTEM, ce qui lui donne de fait les clés du royaume sur le système affecté. Une fois à ce niveau, un attaquant peut désactiver les outils de sécurité, installer des logiciels malveillants persistants, récolter des identifiants et se déplacer latéralement vers d'autres systèmes du même réseau. Cette vulnérabilité a été rendue publique, ce qui réduit souvent les obstacles empêchant les cybercriminels de commencer à l'exploiter.

Par ailleurs, BleepingComputer met en garde:

« Microsoft a également corrigé plusieurs failles permettant l'exécution de code à distance dans Microsoft Office (Word et Excel), qui pouvaient être exploitées via le volet d'aperçu ou lors de l'ouverture de documents malveillants. Les utilisateurs doivent donc veiller à mettre à jour Microsoft Office dès que possible, en particulier s'ils reçoivent régulièrement des pièces jointes. »

Comment appliquer les correctifs et vérifier si vous êtes protégé

Ces mises à jour corrigent les problèmes de sécurité et protègent votre PC Windows . Voici comment vous assurer d'être à jour :

1. Ouvrir les paramètres

  • Cliquez sur le boutonDémarrer(le Windows en bas à gauche de votre écran).
  • Cliquez sur Paramètres (cela ressemble à un petit engrenage).

2. Accédez à Windows Update

  • Dans la fenêtre Paramètres, sélectionnez Windows Update (généralement en bas du menu de gauche).

3.Vérifier les mises à jour

  • Cliquez sur le bouton Vérifier les mises à jour.
  • Windows les dernières mises à jour Patch Tuesday.
  • Si vous avez choisi derecevoir les dernières mises à jour dès leur disponibilité, cette option peut apparaître sous «Plus d'options ».
  • Dans ce cas, vous pouvez voir un Redémarrage requis message. Redémarrez votre système et la mise à jour sera terminée.
    Redémarrage requis
  • Si ce n'est pas le cas, passez aux étapes suivantes.

4.Télécharger et installer Si des mises à jour sont détectées, leur téléchargement démarre automatiquement. Une fois le téléchargement terminé, un bouton «Installer» ou «Redémarrer maintenant » s'affiche.

  • Cliquez sur Installer si nécessaire et suivez les instructions. Votre ordinateur doit généralement être redémarré pour terminer la mise à jour. Si c'est le cas, cliquez sur Redémarrer maintenant.

5. Vérifiez que vous êtes à jour

  • Après le redémarrage, retournez à Windows Update et vérifiez à nouveau. Si le message " Vous êtes à jour" s'affiche, vous êtes prêt !
Windows jour

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Comment faire
Un homme de type caucasien dans un magasin de vélos, en train d'écrire sur un bloc-notes

3 risques de cybersécurité souvent négligés par les petites entreprises

Mai 3, 2026

Les chefs de petites entreprises devraient veiller à remédier à ces trois risques non techniques qui ne nécessitent que peu de connaissances en cybersécurité.

Insectes
serveurs compromis

Une faille de cPanel activement exploitée expose des millions de sites web à des risques de piratage

Mai 1, 2026

Une faille de sécurité dans l'interface d'administration cPanel/WHM permet à des pirates d'accéder à des sites web sans avoir besoin d'un identifiant ni d'un mot de passe.

Actualités
Arnaque au « service d'assistance PayPal

De nouveaux PayPal ont été détournés pour diffuser des escroqueries au « support technique »

Avril 30, 2026

Nous enquêtons sur la manière dont les escrocs exploitent les systèmes PayPalpour pousser leurs victimes à appeler de faux numéros d'assistance.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries