Quand une faille critique est exploitée activement, attendre le prochain cycle de mises à jour n’est plus une option. Voici comment l’urgence redéfinit les règles du jeu en cybersécurité.

Dans le monde idéal de la cybersécurité, une faille suit un parcours balisé.

Un chercheur en sécurité, interne à l’entreprise, indépendant, ou membre d’un cabinet spécialisé, découvre une vulnérabilité dans un logiciel. Il la signale à l’éditeur via un programme de divulgation responsable, souvent encadré par un délai de confidentialité de 90 jours.

L’éditeur analyse, développe un correctif, le teste en profondeur puis le publie lors d’une fenêtre de mise à jour planifiée.

Microsoft a même institutionnalisé l’exercice avec son fameux Patch Tuesday, le deuxième mardi de chaque mois. Tout le monde a le temps de se préparer : les administrateurs planifient leurs déploiements, les équipes de sécurité ajustent leurs détections, et la faille est corrigée avant qu’elle ne devienne une porte d’entrée massivement exploitée.

Sauf que ce scénario suppose une chose : que personne d’autre n’ait trouvé la faille avant le chercheur qui l’a signalée, ou que personne ne l’exploite avant que le correctif ne soit prêt. Quand une vulnérabilité est découverte parce qu’elle est déjà activement utilisée par des attaquants, ce qu’on appelle une faille zero-day exploitée « in the wild », le calendrier confortable du protocole standard est mécaniquement bousculé. Il n’y a plus de marge pour les tests exhaustifs ni pour la communication progressive. Il faut corriger immédiatement et c’est là qu’intervient le hotfix.

Plusieurs hotfix avaient été publiés en juillet 2025 par Microsoft après l'exploitation de failles dans SharePoint // Source : Montage Numerama
Plusieurs hotfixes avaient été publiés en juillet 2025 par Microsoft après l’exploitation de failles dans SharePoint. // Source : Montage Numerama

Le hotfix : la rustine d’urgence

Un hotfix est donc un correctif logiciel déployé en dehors du cycle de mise à jour normal, pour traiter un problème précis et critique, sans attendre la prochaine fenêtre planifiée.

Il se distingue d’une mise à jour classique par trois traits. D’abord son périmètre : il cible une faille unique, pas un ensemble de corrections groupées. Ensuite sa rapidité : il peut être conçu et déployé en quelques heures ou jours, contre plusieurs semaines pour un cycle normal. Enfin son niveau de validation : les tests de régression, qui vérifient que le correctif ne casse rien d’autre dans le logiciel, sont parfois largement réduits, faute de temps.

Ainsi, un hotfix peut créer des incompatibilités imprévues avec d’autres composants, ou ne corriger qu’une partie du problème, obligeant à publier un correctif additionnel par la suite. C’est le compromis assumé entre vitesse et robustesse : on accepte une rustine imparfaite plutôt que de laisser une faille active sans réponse.

SharePoint 2025 : le hotfix à l’épreuve du réel

Pour comprendre comment ce compromis se joue concrètement, fouillons dans les archives de la rubrique Cyberguerre. Direction juillet 2025, lors de la compromission massive de serveurs Microsoft SharePoint.

Deux vulnérabilités critiques, CVE-2025-53770 et CVE-2025-53771, ont permis à des attaquants de prendre le contrôle de serveurs SharePoint installés localement chez leurs clients, sans avoir besoin de mot de passe.

Microsoft identifie rapidement au moins 85 serveurs compromis et 54 organisations victimes, parmi lesquelles des universités américaines, des opérateurs énergétiques, des institutions de santé fédérales et des entités gouvernementales en Amérique du Nord et en Europe.

Alertée le 18 juillet par un signalement de l’entreprise de cybersécurité néerlandaise Eye Security, Microsoft a délivré des correctifs d’urgence partiels presque immédiatement.

Mais ces premiers hotfixes ne couvrent pas toutes les versions. SharePoint Server 2019 et Subscription Edition sont corrigés, tandis que SharePoint 2016 reste exposé.

La réponse dépasse alors l’éditeur. La CISA impose aux agences fédérales américaines de corriger sous 24 heures. En France, le CERT-FR recommande l’isolement immédiat des serveurs non patchés. Le hotfix devient alors un processus en temps réel, à plusieurs temps et déployé au fil de l’eau.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Anticipez le futur en vous inscrivant gratuitement à ToujoursPlus, la newsletter tech de référence.