Patch Tuesday de Microsoft : Une fin d’année marquée par une vulnérabilité zero-day activement exploitée

Date : 9 décembre 2025

Le « Patch Tuesday » est une tradition chez Microsoft : tous les seconds mardis du mois, l’entreprise publie des mises à jour de sécurité pour corriger les failles dans ses produits comme Windows, Office ou PowerShell. En décembre 2025, cette mise à jour mensuelle a corrigé 56 à 57 vulnérabilités (selon les sources), dont trois sont particulièrement graves car elles étaient des zero-days.

Une zero-day est une faille de sécurité que les attaquants connaissent et exploitent avant que le fabricant (ici Microsoft) n’ait eu le temps de la corriger. Parmi ces trois zero-days :

• CVE-2025-62221 (la plus critique ici) : C’est une vulnérabilité de type « use-after-free » dans le Windows Cloud Files Mini Filter Driver. Pour expliquer simplement : ce composant de Windows gère la synchronisation des fichiers avec le cloud (comme OneDrive, même si vous n’utilisez pas OneDrive, il est présent sur la plupart des Windows récents). Un « use-after-free » arrive quand le programme libère une zone de mémoire mais continue à l’utiliser par erreur. Un attaquant qui a déjà un accès local limité à la machine (par exemple, via un compte utilisateur basique obtenu par phishing) peut exploiter cette erreur pour obtenir les privilèges SYSTEM, c’est-à-dire un contrôle total de l’ordinateur. Cette faille est activement exploitée dans la nature (des attaques réelles ont été détectées), et l’agence américaine CISA l’a ajoutée à sa liste des vulnérabilités connues exploitées, obligeant les agences fédérales à la corriger avant le 30 décembre 2025.
• Les deux autres zero-days (publiquement connues mais pas encore exploitées massivement) :
  • Une dans GitHub Copilot (l’assistant IA pour coder dans les environnements JetBrains), permettant d’injecter des commandes malveillantes.
  • Une dans PowerShell, permettant d’exécuter du code distant via des scripts cachés dans des pages web.

L’année 2025 a été record pour Microsoft avec plus de 1 100 à 1 275 vulnérabilités corrigées au total, dont environ 40 zero-days.

Impacts approfondis : Pour un utilisateur ordinaire, ne pas installer cette mise à jour expose votre PC à un risque élevé : si un malware arrive déjà sur votre machine (par un email piégé ou un site infecté), il peut utiliser cette faille pour prendre le contrôle complet, installer des ransomwares, voler des données ou espionner. Pour les entreprises, c’est encore plus dangereux car ces « élévations de privilèges » sont souvent la deuxième étape d’une cyberattaque (après une intrusion initiale). Pendant les fêtes de fin d’année, les équipes informatiques sont souvent moins vigilantes ou en congés, ce qui augmente les risques d’attaques. De plus, cette faille touche Windows 10 (même en support étendu payant), Windows 11 et les serveurs.

Perspectives futures : En 2026, on s’attend à encore plus de vulnérabilités liées à l’IA intégrée (comme Copilot) et au cloud, car ces fonctionnalités ajoutent de nouvelles « surfaces d’attaque ». Microsoft pourrait améliorer la détection automatique des failles avec l’IA, mais la complexité croissante de Windows rendra les zero-days plus fréquents. Le conseil principal reste le même : activez les mises à jour automatiques et appliquez ce patch immédiatement via Windows Update. Si vous gérez un parc informatique, priorisez les machines exposées (serveurs, postes avec accès distant). Cette mise à jour clôt une année intense en cybersécurité et rappelle que les menaces évoluent vite !

Sources :

• Annonce officielle de Microsoft : Security Update Guide pour décembre 2025 – https://msrc.microsoft.com/update-guide/releaseNote/2025-Dec (page principale listant toutes les CVEs).

• Article détaillé de BleepingComputer (10 décembre 2025) : « Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws » – https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2025-patch-tuesday-fixes-3-zero-days-57-flaws/ (détails sur l’exploitation active et les zero-days).

• Analyse de Krebs on Security (décembre 2025) : « Microsoft Patch Tuesday, December 2025 Edition » – https://krebsonsecurity.com/2025/12/microsoft-patch-tuesday-december-2025-edition/ (focus sur CVE-2025-62221 et le record annuel). Blog de Tenable (9 décembre 2025) : « Microsoft’s December 2025 Patch Tuesday Addresses 56 CVEs (CVE-2025-62221) » – https://www.tenable.com/blog/microsofts-december-2025-patch-tuesday-addresses-56-cves-cve-2025-62221 (explications techniques sur le use-after-free).

• Zero Day Initiative (9 décembre 2025) : « The December 2025 Security Update Review » – https://www.zerodayinitiative.com/blog/2025/12/9/the-december-2025-security-update-review (comparaison avec les patches précédents).