Microsoft met les utilisateurs de Windows en garde au sujet d’une vulnérabilité identifiée dans le cœur du système d’exploitation. Située dans Windows Shell, l’habillage graphique de Windows, la vulnérabilité peut être exploitée sans que la victime ne puisse réagir. Il s’agit presque d’une faille de type « zero-click », qui permet au pirate d’arriver à ses fins sans devoir convaincre sa cible de lancer un programme ou de cliquer sur un lien piégé. En l’occurrence, la cible doit simplement cliquer sur un fichier reçu.
« Une faille du mécanisme de protection de Windows Shell permet à un attaquant non autorisé d’usurper l’identité d’un utilisateur sur un réseau. L’attaquant devrait envoyer à la victime un fichier malveillant », explique Microsoft dans son rapport du 27 avril.
À lire aussi : Microsoft vient de détruire l’arme secrète des pirates pour contourner la double authentification
L’empreinte chiffrée de votre mot de passe
Concrètement, l’attaque repose sur un fichier LNK (un raccourci Windows) soigneusement piégé. Quand Windows traite ce fichier, il va automatiquement tenter de se connecter à un serveur à distance, entièrement contrôlé par l’attaquant. Cette connexion déclenche l’envoi du hash NTLMv2, à savoir l’empreinte chiffrée de votre mot de passe Windows, sur le serveur des pirates.
Les attaquants peuvent l’utiliser de deux façons. Ils peuvent tout d’abord tenter de casser le mot de passe hors ligne à l’aide de logiciels spécialisés, qui vont reconstituer le code sur base de l’empreinte chiffrée. Ils peuvent aussi et surtout réutiliser cette empreinte pour se faire passer pour la victime sur d’autres serveurs du même réseau, sans même connaître le mot de passe. En entreprise, cela peut permettre à un pirate de rebondir de machine en machine et de compromettre des systèmes sensibles en quelques minutes.
Des pirates russes exploitent la faille
La faille a été activement exploitée par des groupes de criminels au cours des derniers. En décembre, APT28, un groupe de hackers lié au renseignement militaire russe, également connu sous les noms de Fancy Bear ou Forest Blizzard, s’est servi de la vulnérabilité dans le cadre d’une opération d’espionnage contre l’Ukraine et plusieurs pays de l’Union européenne. Le gang utilisait une combinaison de failles pour exploiter la faille tout en contournant Microsoft Defender SmartScreen, la protection intégrée de Windows contre les logiciels malveillants et le phishing.
À lire aussi : Cyberattaques Windows – une faille transforme l’antivirus Defender en arme pour les pirates
Une faille corrigée après deux tentatives
Microsoft a tenté une première fois de corriger la faille en février dernier. Malheureusement, le correctif était incomplet. C’est Maor Dahan, chercheur en sécurité chez Akamai, qui a découvert que le patch d’origine ne corrigeait le problème qu’à moitié. Si Microsoft avait bien bloqué l’exécution de code malveillant à distance, il avait laissé ouverte une porte dérobée permettant quand même le vol de données. C’est pourquoi la faille a été activement exploitée par la suite, aux côtés d’autres vulnérabilités dans le code de Windows. Interpellé par les chercheurs, Microsoft a fini par colmater définitivement la faille avec le Patch Tuesday d’avril 2026, qu’on vous invite à installer sans plus attendre.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
