Le Patch Tuesday d’avril 2026 de Microsoft est particulièrement copieux, soit un total de 165 vulnérabilités de sécurité touchant Windows, SharePoint, Microsoft Office et d’autres logiciels qui sont à corriger. C’est plus du double par rapport au Patch Tuesday de février.
Parmi ces vulnérabilités, deux failles sont zero-day. En la matière, la définition retenue par Microsoft est celle d’une exploitation dans la nature ou d’une divulgation publique sans forcément une exploitation active, avant la disponibilité d’un correctif.
Quelle est la menace la plus urgente ?
La vulnérabilité la plus préoccupante est CVE-2026-32201, une faille de type spoofing (usurpation d’identité) affectant SharePoint Server.
Microsoft a confirmé que cette faille était déjà exploitée dans des attaques avant la publication du patch. La vulnérabilité peut être utilisée pour tromper son monde en présentant des informations falsifiées au sein d’environnements SharePoint de confiance.
C’est la porte ouverte à des attaques de phishing sophistiquées, tandis que Tenable rappelle un précédent l’été dernier avec une exploitation par des groupes de ransomware et de cyberespionnage.
Une autre faille zero-day révélée
Une deuxième vulnérabilité zero-day est CVE-2026-33825 dans Microsoft Defender. De type élévation de privilèges, elle semble avoir un lien avec la faille baptisée BlueHammer qui a fait l’objet d’une divulgation publique.
Le code d’exploitation a été publié sur GitHub par un chercheur se présentant sous le pseudonyme de Chaotic Eclipse, et apparemment frustré par la manière dont Microsoft a géré son signalement.
Avec l’application du correctif, il est confirmé par des experts en cybersécurité tiers que l’exploit public n’est plus opérationnel.
Pourquoi un nombre élevé de vulnérabilités ce mois-ci ?
C’est le mystère pour comprendre le nombre élevé de vulnérabilités de sécurité du Patch Tuesday d’avril 2026 de Microsoft. Une piste évoquée est le recours à des capacités de l’IA pour la détection de bugs.
Même si un chercheur d’Anthropic utilisant l’IA Claude est crédité pour la découverte d’une faille, Microsoft a confié à The Register que cela ne reflète pas une augmentation significative des trouvailles basées sur l’IA.