KEV, pour Known Exploited Vulnerabilities, voilà le nom du catalogue de la CISA, scruté par les professionnels de la cybersécurité.
Il est en quelque sorte la liste noire des failles qui ne sont plus théoriques : des attaquants s’en servent, maintenant, dans de vraies attaques contre de vraies cibles.
Le lundi 13 avril 2026, l’agence fédérale américaine y a ajouté quatre nouvelles entrées, toutes dans des produits Microsoft, avec une date limite fixée au 27 avril pour que tous les organismes fédéraux appliquent les correctifs correspondants.
Quatre failles, donc, aucune relevant d’une réelle nouveauté. L’une d’elles a même été découverte et corrigée en 2012. Il y a près de quatorze ans.
Des correctifs qui traînent, des portes qui restent ouvertes
Ce temps de latence n’est pas à imputer à Microsoft ni à la CISA, il reflète en réalité l’un des problèmes les plus persistants de la cybersécurité. Les mises à jour existent, les correctifs sont publiés, et pourtant une part significative des organisations ne les applique pas, par manque de temps, par crainte de casser des systèmes critiques, ou simplement par inertie.
Conséquence : des failles officiellement « résolues » continuent d’enrichir l’arsenal des cybercriminels.
Les quatre vulnérabilités pointées par la CISA illustrent parfaitement ce phénomène. La première, CVE-2025-60710, est une faille Windows permettant à un attaquant d’élever ses privilèges sur une machine – passant d’un accès limité à un contrôle quasi total. Microsoft l’avait corrigée dès décembre 2025.
La deuxième, CVE-2023-36424, affecte un composant interne de Windows lié à la gestion des journaux système, et autorise le même type d’escalade de privilèges. Correctif disponible depuis novembre 2023. La troisième, CVE-2023-21529, vise Microsoft Exchange Server, le logiciel de messagerie d’entreprise, et permet à un attaquant authentifié d’exécuter du code à distance sur le serveur cible. Patchée en février 2023.
Quant à la quatrième, CVE-2012-1854, elle concerne Visual Basic for Applications, l’outil de scripting intégré aux logiciels Office. Le correctif remonte à juillet 2012, avec une mise à jour complémentaire en novembre de la même année. Soit près de quatorze ans de retard pour ceux qui ne l’ont toujours pas appliqué.
Ransomware, Adobe et une deadline fédérale
Parmi ces quatre failles, l’une retient particulièrement l’attention des analystes. La vulnérabilité Exchange CVE-2023-21529 est activement exploitée par un groupe cybercriminel que Microsoft suit sous le nom de Storm-1175. Ce groupe s’en sert comme point d’entrée initial dans les réseaux de ses victimes, avant de voler leurs données et de déployer le ransomware Medusa pour les chiffrer et réclamer une rançon. Une combinaison classique, mais efficace.
La CISA indique prudemment que le lien avec des opérations de ransomware reste « inconnu » pour les quatre failles dans l’absolu, mais Microsoft est plus direct sur le cas Exchange.
En parallèle, deux failles Adobe ont également été ajoutées au catalogue lundi : l’une dans Acrobat, connue depuis 2020, l’autre affectant Acrobat Reader, exploitée en zero-day pendant plusieurs mois avant qu’Adobe ne publie enfin un correctif ce week-end.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !