Une vulnérabilité vieille de 14 ans, CVE-2012-1854, refait surface en 2026 avec des attaques actives, malgré deux correctifs de Microsoft. Cette faille dans VBA permet l’exécution de code à distance via des macros Office sur des machines non à jour, illustrant une fois de plus que la gestion des patchs est cruciale pour la sécurité. La réapparition de cette vulnérabilité montre que certaines failles résistent à l’épreuve du temps si leur environnement n’est pas maintenu à jour.
Le problème ne se limite pas à cette faille. La CISA a récemment inscrit dans son catalogue quatre vulnérabilités exploitées activement, avec une obligation pour les agences fédérales américaines de les corriger en deux semaines. Parmi elles, trois ont été corrigées depuis plusieurs années, ce qui souligne que le véritable défi ne réside pas dans la découverte de zero-days, mais dans la gestion effective du parc informatique, souvent laissé à l’abandon. Le retard dans les patchs expose encore davantage les infrastructures à des attaques ciblées.
“Le vrai problème n’est pas l’émergence de nouvelles vulnérabilités, mais la composante humaine et organisationnelle qui laisse certaines failles ouvertes depuis des années.”
Parmi ces vulnérabilités, Storm-1175, exploité par un groupe criminel financier, combine la faille Exchange patchée en 2023 avec 15 autres pour infiltrer des organisations, dérober leurs données et déployer le ransomware Medusa. Si l’exploitation de cette faille est connue depuis trois ans, sa mise à contribution dans des attaques actives montre que la mise à jour régulière des infrastructures, notamment Exchange, reste un défi pour beaucoup de structures, qu’il s’agisse d’administrations ou d’entreprises.
Un constat alarmant se dégage : trois des quatre failles exploitées depuis plusieurs années disposent déjà de correctifs. La problématique principale réside dans le retard des patchs, notamment dans le cadre des solutions Microsoft telles qu’Exchange ou Windows. La difficulté à maintenir ces systèmes à jour, souvent en raison de dépendances métier ou de craintes de casser des fonctionnalités vitales, facilite la persistance de vulnérabilités exploitables par des acteurs malveillants.
En conclusion, la sécurité informatique ne peut être assurée uniquement par la découverte de nouvelles vulnérabilités ou la création de patches. Elle dépend aussi de la discipline et de la rigueur dans la gestion des mises à jour. Tant que les organisations, qu’elles soient publiques ou privées, laisseront des portes ouvertes aux mêmes failles depuis plus de dix ans, les cybercriminels continueront à exploiter ces failles pour leurs profits.
Pour toute organisation utilisant encore un Exchange ou un Windows avec des patchs manquants depuis 2012 ou 2023, il est urgent de s’activer. La sécurité de leurs infrastructures est en jeu, et la fenêtre d’opportunité pour des attaques ne se fermera pas d’elle-même.
