Microsoft corrige enfin une faille Windows exploitée depuis 2017. Après des années d’attaques menées par des cybercriminels chinois, russes et sud-coréens, l’éditeur a discrètement colmaté la brèche. Microsoft a par contre refusé de l’’annoncer comme une vraie mise à jour de sécurité.
C’est l’histoire d’une faille découverte en 2017, que Microsoft a refusé de corriger… avant de changer d’avis très récemment. Il y a sept ans, les chercheurs de Trend Micro ont découvert que des pirates utilisent des fichiers raccourcis Windows (.lnk) piégés dans le cadre de cyberattaques. Ces fichiers piégés servent à télécharger et à déployer des virus sur l’ordinateur visé. Pour masquer la commande malveillante insérée dans le fichier, les cybercriminels se servent d’espaces ou de caractères invisibles.
Quand la victime ouvre le fichier dans l’explorateur, les instructions n’apparaissent pas correctement à cause de ces espaces. L’astuce donne l’illusion d’un fichier inoffensif alors qu’il peut lancer du code malveillant en tâche de fond. Le contenu dangereux est donc quasiment invisible pour l’utilisateur.
À lire aussi : Microsoft déjoue une attaque DDoS surpuissante contre ses serveurs Azure
Une faille massivement exploitée de 2017 à 2025
Microsoft est informé de l’existence d’une vulnérabilité en 2017. L’éditeur considère alors que la vulnérabilité est de « faible gravité » et ne justifie pas vraiment de correctif. Certains chercheurs abondent dans le même sens et estiment qu’il s’agit plutôt d’un tour de passe‑passe qui manipule l’interface de Windows, et non d’une véritable faille de sécurité à corriger. Pour Microsoft, toutes les précautions étaient déjà prises pour que les utilisateurs de Windows soient protégés contre les fichiers malveillants partagés en ligne.
Profitant de l’absence de correctifs, de nombreux groupes criminels, dont des gangs mandatés par des puissances étrangères, font exploiter les raccourcis dans leurs opérations. De 2017 à 2025, les cyberattaques se multiplient tandis que Microsoft continue de faire la source oreille. On se souviendra notamment des offensives orchestrées par la Corée du Nord, l’Iran, la Russie et la Chine. Selon Trend Micro, 11 gangs pirates ont exploité la brèche. Les chercheurs indiquent avoir trouvé près d’un millier de preuves que la faille a été exploitée par des groupuscules criminels.
À lire aussi : Des milliers d’identifiants Microsoft ont été piratés – la contre-attaque est en cours
Microsoft change d’avis et corrige discrètement le tir
En 2025, UNC6384, alias « Mustang Panda », un gang d’espions chinois, se met à exploiter la faille dans plusieurs attaques visant des entités diplomatiques européennes. Les offensives sont largement documentées par les chercheurs d’Arctic Wolf. Dans un premier temps, Microsoft reste sur ses positions. L’éditeur accepte finalement de se pencher sur la question. Alerté par Arctic Wolf et par Trend Micro, Microsoft s’engage à apporter des modifications au fonctionnement de Windows.
Après des années d’exploitation, Microsoft a pris les devants pour colmater la vulnérabilité. Entre juin et l’automne 2025, Microsoft a modifié silencieusement le code de Microsoft pour empêcher que les raccourcis soient à nouveau exploités dans des cyberattaques. Le correctif de Microsoft consiste principalement à changer la façon dont Windows affiche le contenu des raccourcis .lnk.
Auparavant, la boîte de dialogue « Propriétés » d’un raccourci n’affichait que les premiers 260 caractères du champ « Cible », camouflant le reste de la commande, ce qui permettait de cacher des commandes malveillantes. Désormais, Windows affiche désormais toute la chaîne du champ « Cible » dans les propriétés des fichiers .lnk, ce qui empêche de dissimuler des commandes derrière des espaces ou des caractères invisibles. L’utilisateur peut donc rendre compte qu’il se passe quelque chose d’anormal et ne pas cliquer sur le raccourci.
Par contre, Microsoft n’a pas fait la moindre annonce publique. Microsoft a modifié le comportement de Windows pour atténuer la faille sans l’annoncer clairement comme un vrai patch de sécurité, et sans prévenir qui que ce soit. La faille n’apparaît pas dans la liste des vulnérabilités corrigées par les dernières versions de Windows. En fait, Microsoft a corrigé le problème en suivant le processus généralement réservé à un simple bug fonctionnel, et non à une faille de sécurité.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.