Microsoft : Patch Tuesday🛡️, ANSSI : Plan cyber 🏛️, Faille Nginx ⚡

Maxime Blanc

Maxime Blanc

4 min de lecture

Bonjour et bienvenue dans l'édition du samedi 18 avril !

A la une aujourd'hui:

  • Microsoft corrige 167 failles, dont 2 zero-days actifs, dans son Patch Tuesday d'avril 2026
  • Plan d'action cyber : L'ANSSI impose un calendrier serré aux ministères jusqu'en 2027
  • Neutralisation des EDR : une nouvelle étape clé des attaques ransomware
  • La faille nginx-ui (CVE-2026-33032) permet la prise de contrôle des serveurs Nginx
  • La DGSI alerte : Les applications étrangères, une menace sous-estimée pour la sécurité des entreprises

Microsoft corrige 167 failles, dont 2 zero-days actifs, dans son Patch Tuesday d'avril 2026

Points Clés :

  • 167 vulnérabilités corrigées, dont 8 critiques et 2 zero-days
  • Une faille de Microsoft SharePoint Server exploitée activement dans des attaques
  • Nombreuses corrections RCE dans Office, à prioriser pour les utilisateurs

Description :

Microsoft a publié son Patch Tuesday d'avril 2026, corrigeant 167 vulnérabilités dont 2 zero-days. L'une d'elles (CVE-2026-32201) est une faille de spoofing dans SharePoint Server déjà exploitée activement. La seconde (CVE-2026-33825) est une vulnérabilité d'élévation de privilèges dans Microsoft Defender.

Pourquoi c'est important :

La vulnérabilité de SharePoint étant déjà exploitée, les administrateurs doivent appliquer ces correctifs en priorité. Les failles dans Office sont particulièrement dangereuses car elles peuvent être déclenchées en prévisualisant des documents.

Plan d'action cyber : L'ANSSI impose un calendrier serré aux ministères jusqu'en 2027

Points Clés :

  • L'ANSSI dévoile sa feuille de route cybersécurité 2026-2027 pour les systèmes d'information de l'État
  • Authentification multifacteurs obligatoire pour tous les comptes administrateurs avant fin 2026
  • Préparation à la transition vers la cryptographie post-quantique avec déploiement prévu à partir de 2030

Description :

L'ANSSI a publié sa nouvelle feuille de route imposant aux ministères d'accélérer la sécurisation de leurs infrastructures numériques face aux menaces croissantes. Le document établit des échéances strictes pour renforcer l'authentification, déployer des outils de détection avancés (EDR/XDR), sécuriser les DNS et préparer la transition vers la cryptographie post-quantique.

Pourquoi c'est important :

Ce plan ambitieux répond aux nombreuses intrusions ayant affecté les systèmes d'État en 2025 et vise la mise en conformité avec la directive européenne NIS 2. En imposant un calendrier précis pour corriger les vulnérabilités critiques, l'ANSSI reconnaît l'urgence de renforcer la posture cyber de l'État français face à des menaces toujours plus sophistiquées.

Neutralisation des EDR : une nouvelle étape clé des attaques ransomware

Points Clés :

  • Les attaquants intègrent désormais la désactivation des EDR comme phase préparatoire
  • L'approche "EDR Killer" vise à désactiver les mécanismes de détection plutôt qu'à les contourner
  • L'utilisation de drivers légitimes mais vulnérables (BYOVD) permet d'accéder au noyau et neutraliser les défenses mises en place

Description :

Début 2026, une évolution significative est observée dans les stratégies des cybercriminels: la neutralisation des solutions EDR devient une étape préparatoire systématique des attaques ransomware. Cette technique désactive les mécanismes de détection en amont, réduisant considérablement la visibilité défensive. Le groupe Qilin illustre cette tendance en intégrant ces capacités dans ses opérations.

Pourquoi c'est important :

Cette évolution représente une menace accrue car elle réduit drastiquement l'efficacité des outils de sécurité modernes. En neutralisant les EDR, les attaquants opèrent avec une discrétion accrue, compromettant la première ligne de défense contre les ransomwares. Les organisations doivent rapidement adapter leurs stratégies de protection pour faire face à cette nouvelle réalité.

La faille nginx-ui (CVE-2026-33032) permet la prise de contrôle des serveurs Nginx

Points Clés :

  • Une vulnérabilité critique (CVE-2026-33032, CSVV 9.8) dans nginx-ui permet le contournement d'authentification et la prise de contrôle complète des serveurs Nginx.
  • L'exploitation nécessite seulement deux requêtes HTTP et est déjà observée dans des attaques réelles.
  • Plus de 2,600 instances nginx-ui exposées sont à risque; une mise à jour vers la version 2.3.4 est disponible et fortement recommandée.

Description :

La vulnérabilité CVE-2026-33032 dans nginx-ui permet aux attaquants de prendre le contrôle des serveurs Nginx sans authentification. Le problème vient du point de terminaison /mcp_message qui utilise uniquement un filtrage IP avec une liste blanche vide par défaut. Cette faille, notée 9.8/10, peut être exploitée en quelques secondes.

Pourquoi c'est important :

Cette vulnérabilité représente une menace immédiate pour des milliers de serveurs Nginx. Son exploitation facile et son impact élevé en font une cible prioritaire pour les attaquants. Les serveurs non corrigés risquent non seulement une compromission du service web, mais également des intrusions réseau plus larges.

La DGSI alerte : Les applications étrangères, une menace sous-estimée pour la sécurité des entreprises

Points Clés :

  • Les applications et logiciels étrangers peuvent dissimuler des logiciels espions compromettant les réseaux d'entreprise
  • Les données stockées sur des serveurs étrangers peuvent être légalement accessibles par des autorités étrangères
  • La DGSI recommande d'utiliser prioritairement des solutions françaises certifiées par l'ANSSI

Description :

La DGSI met en garde les entreprises françaises contre les risques de cybersécurité liés aux applications et logiciels étrangers. Ces outils, souvent imposés lors d'opérations internationales, peuvent contenir des vulnérabilités permettant l'espionnage économique. Le renseignement intérieur cite plusieurs exemples, comme des applications obligatoires lors de déplacements professionnels qui accèdent à l'intégralité des données des appareils.

Pourquoi c'est important :

Cette alerte souligne un enjeu majeur de sécurité économique pour les entreprises françaises opérant à l'international. L'utilisation de ces applications peut compromettre le secret industriel et exposer les organisations à des législations étrangères, même sans y avoir d'activité. Les recommandations de la DGSI visent à protéger le patrimoine informationnel français et à sensibiliser aux risques d'espionnage numérique dans un contexte de concurrence mondiale.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon samedi à toi !