← AI War Room
Cybersécurité

Deux zero-days Microsoft Defender en exploitation active : la CISA en alerte, appliquer les correctifs sans délai

Tech4B2B · · 3 min (mis à jour le )
Illustration : Deux zero-days Microsoft Defender en exploitation active : la CISA en alerte, appliquer les correctifs sans délai
  • Sujet: Deux zero-days Microsoft Defender en exploitation active : la CISA en alerte, appliquer les correctifs sans délai
  • Date:
Microsoft a confirmé une mise à jour de sécurité d'urgence après que la CISA (Cybersecurity and Infrastructure Security Agency) a signalé l'exploitation active de deux nouvelles vulnérabilités zero-day dans Microsoft Defender. Simultanément, l'éditeur a publié une mitigation pour CVE-2026-45585, baptisée "YellowKey", un contournement du chiffrement BitLocker. Ces trois vulnérabilités simultanées, dont deux en exploitation confirmée sur le terrain, placent les équipes de sécurité des entreprises sous une pression maximale.

Microsoft Defender est déployé sur des centaines de millions de postes en entreprise, servant à la fois d'antivirus, d'EDR et de composant de la suite Microsoft Defender for Endpoint. Une vulnérabilité zero-day dans Defender est par nature paradoxale : la solution de protection devient le vecteur d'attaque. Par ailleurs, BitLocker reste le mécanisme de chiffrement de référence pour les postes Windows en entreprise. CVE-2026-45585 "YellowKey" permettrait à un attaquant local (ou via un accès physique au poste) de contourner le chiffrement, exposant des données sensibles même sur des appareils en apparence protégés. La conjonction des deux incidents au même cycle de patch est particulièrement défavorable pour les équipes IT.

Deux zero-days Defender : exploitation active confirmée par la CISA

La CISA a ajouté les deux CVE à son catalogue KEV (Known Exploited Vulnerabilities), ce qui impose aux agences fédérales américaines de patcher sous 3 semaines — et constitue un signal fort pour le secteur privé. L'exploitation active signifie que des attaquants utilisent ces vulnérabilités en conditions réelles, probablement ciblant des organisations spécifiques avant la disponibilité du patch.

YellowKey (CVE-2026-45585) : la menace sur l'intégrité du chiffrement

Le contournement BitLocker est une catégorie de vulnérabilité particulièrement sensible pour les entreprises qui s'appuient sur ce mécanisme pour satisfaire leurs obligations réglementaires (RGPD, SOC 2, ISO 27001) en matière de protection des données en cas de perte ou vol de matériel. Une mitigation (et non un patch complet) est disponible, ce qui implique que la correction définitive peut nécessiter des actions supplémentaires.

Le calendrier d'application : urgence opérationnelle

Microsoft publie généralement ses correctifs le deuxième mardi du mois (Patch Tuesday), mais ces mises à jour d'urgence dérogent à ce cycle. Pour les organisations avec des politiques de gestion des patchs strictes (testing préalable, fenêtres de maintenance), le dilemme est réel : appliquer rapidement au risque d'instabilité, ou tester rigoureusement au risque d'exposition prolongée.

Le contexte du "barrage de zero-days" post-Patch Tuesday

Selon Dark Reading, cette vague s'inscrit dans un "Windows Zero-Day Barrage" continu depuis le dernier Patch Tuesday, avec six zero-days sur six semaines mentionnés par Barracuda Networks. Ce schéma suggère une pression concertée sur la stack Windows en entreprise, possiblement liée à des campagnes de ransomware ou d'espionnage ciblant des secteurs spécifiques.

La chaîne de responsabilité : Microsoft, les entreprises, les MSP

Les MSP et les équipes IT des entreprises sont en première ligne. La gestion simultanée de trois vulnérabilités critiques sur des composants aussi fondamentaux (antivirus, chiffrement) révèle les limites des équipes sécurité sous-dimensionnées.

Implications

Business : Toute organisation utilisant Microsoft Defender (quasiment toutes les entreprises sous licence Microsoft 365 ou Windows Enterprise) doit déployer les correctifs en urgence. Pour BitLocker, vérifier les dispositifs de secours (recovery keys) et surveiller les événements d'accès anormaux aux volumes chiffrés.

Concurrentiel : Les éditeurs alternatifs d'EDR (CrowdStrike, SentinelOne, Trend Micro) ont une opportunité marketing immédiate. En revanche, l'ubiquité de Defender signifie que ces zero-days concernent une part très majoritaire des parcs IT mondiaux.

Réglementaire : Les RSSI doivent documenter la réponse à incident pour démontrer la diligence requise par le RGPD et les cadres sectoriels (NIS2 en Europe).


La simultanéité de deux zero-days Defender en exploitation active et d'un contournement BitLocker représente une situation critique pour les équipes de sécurité. La priorité absolue est l'application des correctifs Microsoft disponibles et la mise en oeuvre des mitigations YellowKey. Au-delà de l'urgence tactique, cet épisode rappelle que la concentration des outils de sécurité chez un seul éditeur crée une dépendance systémique dont les conséquences se mesurent en heures lors d'une exploitation active.

TL;DR

Microsoft publie des correctifs d'urgence pour deux zero-days Defender en exploitation active et une mitigation pour le contournement BitLocker YellowKey — trois vulnérabilités simultanées sur des composants critiques.

  • La CISA confirme l'exploitation active des deux zero-days Defender : patcher immédiatement sans attendre les fenêtres de maintenance habituelles
  • CVE-2026-45585 "YellowKey" permet de contourner le chiffrement BitLocker — menace directe sur la conformité réglementaire des données au repos
  • Cette vague s'inscrit dans un schéma de six zero-days Windows sur six semaines, suggestif d'une campagne coordonnée


Questions fréquentes

Comment savoir si notre organisation est exposée aux zero-days Defender ?

Consulter immédiatement le Security Update Guide de Microsoft pour les CVE correspondants, vérifier la version de Microsoft Defender installée sur le parc, et déployer la mise à jour d'urgence via WSUS, Intune, ou l'outil de déploiement de patches en place. Les environnements ayant désactivé les mises à jour automatiques de Defender sont particulièrement exposés.

La mitigation YellowKey est-elle suffisante ou faut-il attendre un patch complet ?

Microsoft précise que la mitigation est une mesure temporaire. Elle doit être appliquée sans délai, mais les équipes IT doivent surveiller activement la disponibilité d'un correctif définitif. En parallèle, il est recommandé d'auditer les logs BitLocker (événements Windows EventID liés au TPM et au chiffrement) pour détecter d'éventuelles tentatives de contournement antérieures.

Faut-il patcher directement en production sans tests préalables ?

La réponse dépend de l'organisation, mais avec une exploitation active confirmée, le risque de ne pas patcher surpasse généralement le risque d'instabilité post-patch. La recommandation sectorielle standard est de déployer d'abord sur un sous-ensemble de machines pilotes (10 % du parc), de monitorer 2 à 4 heures, puis de généraliser si aucun effet indésirable n'est constaté.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.