La livraison de correctifs du Patch Tuesday d’avril 2026 transforme le rituel mensuel de Microsoft en opération de rattrapage à haut risque : 160 failles, des Zero-days, du RCE, et des élévations de privilèges… SharePoint, Defender, Office et Windows se retrouvent au même menu, avec un niveau d’exposition qui laisse peu de place à l’attentisme.
Hier, c’était la fameuse journée du « Patch Tuesday » mensuel de Microsoft. Ce rendez-vous très ritualisé du deuxième mardi de chaque mois où Microsoft publie ses mises à jour de sécurité cumulatives pour Windows et ses autres produits. Le jour où les équipes IT découvrent combien de failles vont s’inviter dans leur soirée et leur pourrir leur fin de semaine et leur planning de travail.
Et ce Patch Tuesday d’avril 2026 sort suffisamment du lot pour que l’on s’y attarde! Car il est inhabituellement massif et critique avec un total de plus de 160 vulnérabilités corrigées selon la méthode de comptage, et surtout deux zero-days, dont une déjà très largement exploitée, malheureusement.
On y trouve également des correctifs pour huit vulnérabilités critiques, une masse de problèmes d’élévation de privilèges, des failles d’exécution de code à distance, et des composants très exposés comme SharePoint, Office, Active Directory, Defender et des briques centrales de Windows.
SharePoint à nouvelle fois ciblé
La vedette du mois, si l’on peut dire, est CVE-2026-32201, une faille de spoofing dans Microsoft SharePoint Server déjà largement exploitée avant la publication du correctif. Le problème n’est pas seulement technique : une faille de spoofing dans SharePoint, c’est potentiellement la capacité de faire passer du contenu piégé pour du contenu de confiance dans un environnement collaboratif que les utilisateurs considèrent souvent comme “interne donc sûr”. En pratique, Microsoft indique qu’un attaquant peut consulter certaines informations sensibles et modifier des informations divulguées. Le genre de brèche qui peut devenir très toxique dans un intranet d’entreprise et qui intéresse tout particulièrement les cyberattaquants étatiques.
Un trou dans la défense
L’autre zero-day, CVE-2026-33825, touche Microsoft Defender. Celui-ci avait été divulgué publiquement avant l’arrivée du patch, ce qui suffit à le faire entrer dans la catégorie des zero-days même sans exploitation confirmée à grande échelle. Microsoft le corrige via une mise à jour de sa plateforme antimalware distribuée automatiquement. Reste que lorsque l’outil censé défendre la maison est percé, il y a urgence à appliquer le correctif !
Office et Windows en ligne de mire
Autre raison de ne pas traiter ce Patch Tuesday comme une routine : Microsoft Office figure aussi dans les urgences du mois. Des failles d’exécution de code à distance dans Word et Excel peuvent être déclenchées via le volet de prévisualisation ou à l’ouverture de documents piégés. Dit autrement, ce camion de correctifs concerne aussi très directement les usages bureautiques ordinaires, donc la surface d’attaque la plus banale… et la plus rentable pour les cyberattaquants.
Au passage, la mise à jour cumulative de sécurité de Windows 11 d’avril apporte aussi des éléments concrets côté exploitation : déploiement plus large des nouveaux certificats Secure Boot, correction d’un problème pouvant déclencher BitLocker Recovery après certaines mises à jour Secure Boot, et protection renforcée contre le phishing via fichiers .rdp.
Un mot d’ordre : si vous n’avez pas encore laissé Windows Update redémarrer votre machine ou n’avez pas encore appliqué les correctifs de ce patch Tuesday, il est urgent de ne plus attendre !
____________________________
puis