Cybersécurité : la CISA alerte sur quatre failles Microsoft exploitées, dont une corrigée en 2012

L’agence américaine de cybersécurité (CISA) a publié lundi 13 avril 2026 une note alertant sur l’exploitation active de quatre vulnérabilités dans des produits Microsoft, dont une remontant à 2012. Selon Numerama, ces failles, ajoutées au catalogue Known Exploited Vulnerabilities (KEV), imposent aux organismes fédéraux américains d’appliquer les correctifs correspondants avant le 27 avril 2026.

Parmi ces vulnérabilités, l’une d’elles, identifiée sous le code CVE-2012-1854, concerne Visual Basic for Applications, un outil de script intégré aux logiciels Office. Le correctif avait été publié par Microsoft en juillet 2012, soit près de quatorze ans avant cette alerte. Une inertie qui illustre les défis persistants de la cybersécurité, où les mises à jour existent mais ne sont pas toujours appliquées en temps voulu.

Des failles « résolues » exploitées par des cybercriminels

La CISA a ajouté ces quatre vulnérabilités à son catalogue KEV, une liste recensant les failles effectivement exploitées par des attaquants. Selon Numerama, l’agence souligne ainsi l’écart entre la publication des correctifs et leur application par les organisations. « Les mises à jour existent, les correctifs sont publiés, et pourtant une part significative des organisations ne les applique pas », rappelle-t-elle.

Les raisons de ce retard sont multiples : manque de temps, crainte de perturber des systèmes critiques, ou simplement une inertie organisationnelle. Autant dire que ces failles, pourtant officiellement « résolues », continuent d’alimenter l’arsenal des cybercriminels, qui les exploitent pour infiltrer des réseaux ou déployer des ransomwares.

Microsoft Exchange Server et Visual Basic for Applications, cibles privilégiées

Parmi les quatre vulnérabilités pointées par la CISA, la faille CVE-2023-21529, affectant Microsoft Exchange Server, retient particulièrement l’attention. Corrigée en février 2023, elle permet à un attaquant authentifié d’exécuter du code à distance sur le serveur cible. Selon Numerama, cette faille est exploitée par le groupe Storm-1175 pour s’infiltrer dans les réseaux de ses victimes, avant de voler des données et de déployer le ransomware Medusa.

La quatrième faille, CVE-2012-1854, touche Visual Basic for Applications, un outil de scripting intégré aux logiciels Office comme Excel ou Word. Le correctif avait été publié par Microsoft en juillet 2012, avec une mise à jour complémentaire en novembre de la même année. Pourtant, quatorze ans plus tard, certains systèmes n’ont toujours pas appliqué ce patch, laissant une porte ouverte aux attaquants.

Deux autres failles Adobe ajoutées au catalogue KEV

En parallèle des vulnérabilités Microsoft, la CISA a également ajouté deux failles affectant des produits Adobe. La première, dans Acrobat, était connue depuis 2020, tandis que la seconde, touchant Acrobat Reader, avait été exploitée en zero-day pendant plusieurs mois avant qu’Adobe ne publie un correctif ce week-end. Ces ajouts rappellent que le phénomène ne concerne pas uniquement Microsoft, mais l’ensemble de l’écosystème logiciel.

Pour les professionnels de la cybersécurité, ces alertes soulignent l’importance de maintenir un inventaire précis des logiciels utilisés et de prioriser l’application des correctifs, surtout pour les failles déjà exploitées en attaque. « Le catalogue KEV n’est pas une liste théorique : chaque faille listée a été utilisée dans des attaques réelles », insiste Numerama.

Ces vulnérabilités rappellent une fois de plus que la cybersécurité est un processus continu, où la réactivité est aussi importante que la prévention. Pour les utilisateurs, cela se traduit par une vigilance accrue : appliquer les mises à jour dès leur publication, même pour des logiciels apparemment sans lien avec des enjeux critiques.