Microsoft Exchange : la faille qui contourne les mises à jour

Tech > Microsoft > Outlook
Par Jordan Servan publié le 19 mai 2026 à 14h00.
Tech
Microsoft exchange

Image d'illustration. Microsoft exchangeMicrosoft / PR-ADN

Une faille de sécurité jusqu’alors inconnue menace actuellement les utilisateurs de Microsoft Exchange. Des cybercriminels exploitent activement cette vulnérabilité, exposant entreprises et organisations à des risques accrus de piratage et de compromission de données sensibles.

Tl;dr

  • Une faille zero-day critique (CVE-2026-42897) touche Microsoft Exchange Server 2016, 2019 et SE, avec des attaques déjà actives même sur des systèmes à jour.
  • L’exploitation est simple : un email malveillant ouvert via Outlook Web Access peut exécuter du code JavaScript côté navigateur.
  • Microsoft recommande d’activer en urgence des mesures de mitigation (EEMS) en attendant un correctif, dans un contexte déjà marqué par de nombreuses autres failles récemment corrigées.

Une vulnérabilité majeure secoue Microsoft Exchange Server

C’est une alerte sérieuse qui frappe l’écosystème de Microsoft Exchange Server. Depuis jeudi, la communauté de la cybersécurité fait face à une nouvelle faille « zero-day » identifiée sous le nom de CVE-2026-42897, dont l’exploitation active inquiète au plus haut point les experts. Les versions concernées, Exchange Server 2016, Exchange Server 2019 ainsi que l’édition par abonnement (SE), se révèlent vulnérables, y compris si elles sont parfaitement à jour.

Un mode opératoire redoutablement simple

Ce qui frappe dans cette affaire, c’est la simplicité du scénario d’attaque : il suffit qu’un utilisateur ouvre un email malveillant via Outlook Web Access pour que du code arbitraire s’exécute dans son navigateur. Selon l’équipe Exchange de chez Microsoft : « Un attaquant pourrait envoyer un courriel spécialement conçu à une victime ; si celle-ci l’ouvre dans OWA et que certaines conditions d’interaction sont remplies, du JavaScript pourrait s’exécuter côté navigateur ». On comprend dès lors l’urgence qui entoure la mise en place de solutions temporaires.

Palliatifs d’urgence en attendant les correctifs

Aucune mise à jour officielle n’est encore proposée. Cependant, la firme recommande d’activer sans délai le Exchange Emergency Mitigation Service (EEMS), capable de mettre en œuvre des mesures automatiques contre ce type d’attaque pour les serveurs concernés. Microsoft insiste : « L’utilisation du service EM est actuellement le moyen le plus efficace pour protéger votre organisation immédiatement. Si ce service est désactivé, il est vivement conseillé de le réactiver sans attendre ». Il est néanmoins rappelé que les serveurs antérieurs à mars 2023 ne pourront pas bénéficier pleinement de ces mitigations.

Voici les principales recommandations pour réduire les risques :

  • Lancer le script Exchange Health Checker pour vérifier l’état des protections.
  • S’assurer que le EEMS est activé et fonctionnel.

Un mois éprouvant pour la sécurité Microsoft

La découverte de cette vulnérabilité intervient dans un contexte déjà tendu : ces derniers jours, plus de 130 failles ont été corrigées par Microsoft lors du Patch Tuesday. Cette avalanche de correctifs s’explique en partie par le recours à un nouvel outil intelligent baptisé MDASH (Multi-model Agentic Scanning Harness), développé pour accélérer la détection automatisée des bugs.

Dans cette course perpétuelle entre cybermenaces et parades technologiques, chaque faille critique démontre combien la vigilance doit rester constante au sein des organisations dépendantes des infrastructures Exchange.

En savoir plus