Récapitulatif
- Réflexion sur les effets en cascade d’Anthropic Mythos et de Project Glasswing sur l’avenir de la gestion de l’exposition logicielle.
- Plusieurs vulnérabilités zero-day pré-Patch Tuesday sont à surveiller : la vulnérabilité zero-day Google Chrome (CVE-2026-5281), corrigée le 1er avril, et la vulnérabilité zero-day Adobe Acrobat Reader (CVE-2026-34621), corrigée le vendredi 10 avril.
- Microsoft a corrigé 169 CVE ce mois-ci, dont un exploit zero-day dans Microsoft SharePoint (CVE-2026-32201) et une divulgation publique dans Microsoft Defender (CVE-2026-33825).
La période précédant le Patch Tuesday a été riche en événements. Une vulnérabilité zero-day dans Google Chrome (CVE-2026-5281) a été corrigée le 1er avril, une vulnérabilité zero-day dans Adobe Acrobat Reader (CVE-2026-34621) en fin de journée le vendredi 10 avril, et plusieurs CVE plus anciennes ont été ajoutées hier à la liste KEV de la CISA (13 avril). Le tout dans un contexte où le secteur parle beaucoup d’Anthropic Mythos et du Project Glasswing.
Quel est le lien entre ces événements et Project Glasswing ? La plupart des discussions autour de Mythos se sont concentrées sur ses cas d’utilisation et leurs répercussions.
La détection de failles exploitables dans le code peut être un outil très utile lorsqu’elle est effectuée par l’éditeur qui écrit ce code avant sa publication. Toutefois, elle sera également utilisée par des chercheurs et des acteurs malveillants pour trouver des failles dans du code déjà publié, et c’est sur ce point que porte ma réflexion.
Considérez les effets en cascade d’un modèle de grande envergure comme Mythos et ce qu’il impliquera à court et à plus long terme pour les logiciels utilisés par les entreprises. À court terme, les grands acteurs utiliseront ce type de solution pour publier du code plus sécurisé. À mesure que les chercheurs et les acteurs malveillants adopteront des modèles d’IA plus robustes pour identifier des failles exploitables, cela se traduira par davantage de divulgations coordonnées (positif), d’exploits zero-day (négatif) et d’exploits n-day (négatif). Tout cela entraînera des mises à jour logicielles plus fréquentes et, surtout, plus urgentes.
De nombreuses organisations peinent actuellement à suivre le rythme des mises à jour prioritaires qui corrigent des vulnérabilités exploitées lorsqu’elles surviennent en dehors de leur maintenance mensuelle habituelle. Je pense que la plupart des organisations n’ont pas eu connaissance de l’exploit zero-day d’Adobe Acrobat avant la mise à jour KEV de la CISA hier. Cela signifie que les acteurs malveillants ont bénéficié de 2 à 3 jours supplémentaires pour exploiter CVE-2026-34621 avant que la plupart des organisations n’en soient informées, et beaucoup d’entre elles traiteront probablement cette mise à jour dans le cadre de leur maintenance régulière, qui commence aujourd’hui avec le Patch Tuesday.
Les mises à jour de sécurité des navigateurs sont hebdomadaires. De nombreuses autres applications que les utilisateurs emploient régulièrement publient des mises à jour selon un calendrier continu, et non à une date mensuelle fixe. Cela signifie que nombre des exploits ciblant les utilisateurs se produiront dans des logiciels publiés en dehors des calendriers de maintenance de la plupart des organisations, et cette fréquence est sur le point d’augmenter. Il est difficile de dire si cette hausse sera de 1,5 fois ou de 5 fois, mais soyez assurés qu’elle sera perceptible et aggravera un défi auquel la plupart des organisations sont déjà confrontées : la gestion rapide des correctifs.
C’est là qu’intervient la gestion de l’exposition. Il s’agit autant d’un changement d’état d’esprit et de maturité que d’une évolution technologique. Ce changement d’état d’esprit nous oblige à envisager un monde dans lequel nous devons prendre les décisions en amont et les surveiller. C’est ce que l’on appelle définir son appétence au risque et surveiller sa posture de risque. Effectuée efficacement, cette démarche fait gagner en maturité la réponse des organisations face aux risques et rend les activités de remédiation beaucoup plus claires.
L’évolution technologique exige que les technologies traditionnelles d’évaluation des vulnérabilités s’intègrent dans un écosystème plus large, où la visibilité des actifs ou le système de référence se combine avec des solutions d’évaluation des vulnérabilités et de renseignement sur les vulnérabilités afin d’affiner les décisions : agir plus immédiatement face à certains risques ou attendre les opérations de maintenance régulières. Le plus important est que cette pile technologique soit intégrée à votre plateforme AEM (Autonomous Endpoint Management), car c’est là que la remédiation s’effectue principalement et automatiquement.
Revenons maintenant à notre point Patch Tuesday habituel. Microsoft a corrigé 169 CVE ce mois-ci, ce qui constitue un ensemble de correctifs très important pour un Patch Tuesday. Le Patch Tuesday d’avril est le deuxième plus important jamais enregistré, derrière celui d’octobre 2025, qui avait corrigé 175 CVE. Il comprend un exploit zero-day (CVE-2026-3220) et une divulgation publique (CVE-2026-33825), répartis entre 8 vulnérabilités critiques, 156 importantes, 3 modérées et 1 faible.
La CVE zero-day se trouve dans Microsoft SharePoint et la divulgation publique concerne Microsoft Defender, ce qui fait de ces deux mises à jour les plus urgentes du mois, en plus des mises à jour Adobe Acrobat et Google Chrome publiées avant le Patch Tuesday.
Vulnérabilités Microsoft exploitées connues
Microsoft a corrigé une vulnérabilité d’usurpation de serveur dans Microsoft SharePoint (CVE-2026-32201). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 6,5, mais son exploitation active a été confirmée. Un attaquant qui parvient à exploiter cette vulnérabilité peut consulter des informations sensibles et modifier les informations divulguées. La vulnérabilité affecte SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Server 2016. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Vulnérabilités Microsoft divulguées publiquement
Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Microsoft Defender (CVE-2026-33825). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais elle a été divulguée publiquement. La CVE indique que la maturité du code d’exploitation est de type preuve de concept, ce qui accroît son risque d’exploitation. Un attaquant pourrait utiliser cette vulnérabilité pour permettre à un attaquant autorisé d’élever ses privilèges au niveau SYSTEM sur la machine locale.
Avis de sécurité Ivanti
Ivanti a publié une mise à jour de sécurité pour avril. Cette mise à jour concerne Ivanti Neurons for ITSM et corrige deux CVE. Vous trouverez plus de détails et d’informations sur les mesures d’atténuation dans l’avis de sécurité d’avril.
Vulnérabilités tierces
Adobe a publié douze mises à jour ce mois-ci, dont onze lors du Patch Tuesday, ainsi que la mise à jour zero-day pour Acrobat publiée le vendredi 10 avril. 54 CVE ont été corrigées, réparties entre 39 critiques, 13 importantes et 2 modérées. APSB26-43 a corrigé l’exploit zero-day (CVE-2026-34621).
Liste des tâches pour les mises à jour d’avril
- Adobe Acrobat (CVE-2026-34621) et Google Chrome (CVE-2026-5281) ont tous deux fait l’objet d’exploits zero-day avant le Patch Tuesday. Veillez à prioriser la remédiation de ces deux produits vers leur dernière version.
- Microsoft SharePoint comprend un exploit zero-day (CVE-2026-32201) et doit être examiné en priorité, en particulier si vous rencontrez des difficultés connues de mise à jour dans vos environnements SharePoint.
- La mise à jour du système d’exploitation Microsoft Windows de ce mois-ci corrige 133 CVE (selon l’édition) et inclut 4 CVE critiques. Cette mise à jour corrigera un nombre important de constats dans votre environnement.