Microsoft Exchange : la faille qui contourne les mises à jour

Une faille de sécurité jusqu’alors inconnue menace actuellement les utilisateurs de Microsoft Exchange. Des cybercriminels exploitent activement cette vulnérabilité, exposant entreprises et organisations à des risques accrus de piratage et de compromission de données sensibles.

Microsoft exchange
Image d'illustration. Microsoft exchange — ADN

Tl;dr

  • Une faille zero-day critique (CVE-2026-42897) touche Microsoft Exchange Server 2016, 2019 et SE, avec des attaques déjà actives même sur des systèmes à jour.
  • L’exploitation est simple : un email malveillant ouvert via Outlook Web Access peut exécuter du code JavaScript côté navigateur.
  • Microsoft recommande d’activer en urgence des mesures de mitigation (EEMS) en attendant un correctif, dans un contexte déjà marqué par de nombreuses autres failles récemment corrigées.

Une vulnérabilité majeure secoue Microsoft Exchange Server

C’est une alerte sérieuse qui frappe l’écosystème de Microsoft Exchange Server. Depuis jeudi, la communauté de la cybersécurité fait face à une nouvelle faille « zero-day » identifiée sous le nom de CVE-2026-42897, dont l’exploitation active inquiète au plus haut point les experts. Les versions concernées, Exchange Server 2016, Exchange Server 2019 ainsi que l’édition par abonnement (SE), se révèlent vulnérables, y compris si elles sont parfaitement à jour.

Un mode opératoire redoutablement simple

Ce qui frappe dans cette affaire, c’est la simplicité du scénario d’attaque : il suffit qu’un utilisateur ouvre un email malveillant via Outlook Web Access pour que du code arbitraire s’exécute dans son navigateur. Selon l’équipe Exchange de chez Microsoft : « Un attaquant pourrait envoyer un courriel spécialement conçu à une victime ; si celle-ci l’ouvre dans OWA et que certaines conditions d’interaction sont remplies, du JavaScript pourrait s’exécuter côté navigateur ». On comprend dès lors l’urgence qui entoure la mise en place de solutions temporaires.

Palliatifs d’urgence en attendant les correctifs

Aucune mise à jour officielle n’est encore proposée. Cependant, la firme recommande d’activer sans délai le Exchange Emergency Mitigation Service (EEMS), capable de mettre en œuvre des mesures automatiques contre ce type d’attaque pour les serveurs concernés. Microsoft insiste : « L’utilisation du service EM est actuellement le moyen le plus efficace pour protéger votre organisation immédiatement. Si ce service est désactivé, il est vivement conseillé de le réactiver sans attendre ». Il est néanmoins rappelé que les serveurs antérieurs à mars 2023 ne pourront pas bénéficier pleinement de ces mitigations.

Voici les principales recommandations pour réduire les risques :

  • Lancer le script Exchange Health Checker pour vérifier l’état des protections.
  • S’assurer que le EEMS est activé et fonctionnel.

Un mois éprouvant pour la sécurité Microsoft

La découverte de cette vulnérabilité intervient dans un contexte déjà tendu : ces derniers jours, plus de 130 failles ont été corrigées par Microsoft lors du Patch Tuesday. Cette avalanche de correctifs s’explique en partie par le recours à un nouvel outil intelligent baptisé MDASH (Multi-model Agentic Scanning Harness), développé pour accélérer la détection automatisée des bugs.

Dans cette course perpétuelle entre cybermenaces et parades technologiques, chaque faille critique démontre combien la vigilance doit rester constante au sein des organisations dépendantes des infrastructures Exchange.

Jordan Servan

Spécialiste Tech

X LinkedIn Tous ses articles →
Une erreur dans cet article ?

Nous apportons le plus grand soin à chaque article et nous appuyons sur des sources fiables. Personne n'est à l'abri d'une erreur : si vous en repérez une, signalez-la, nous la corrigerons au plus vite.

Sujets
Cybersecurite Microsoft

Lisez 24matins en priorité sur Google

Ajoutez-nous à vos sources préférées : nos articles remonteront plus haut dans votre actualité.

Ajouter à mes sources

À découvrir

La suite, sélectionnée pour vous.

24matins · 06 Juil · 14h00

Alibaba bannit Claude Code et impose Qoder

À partir du 10 juillet, Alibaba doit bloquer Claude Code pour ses salariés. En toile de fond, Anthropic serre déjà la vis sur l’accès depuis la Chine.