Début janvier 2024, Microsoft a publié un avertissement concernant une faille critique affectant Outlook et Exchange : la vulnérabilité CVE-2024-21413. Considérée comme l’une des failles les plus sérieuses de ce début d’année, elle permet potentiellement à un attaquant d’exécuter du code à distance simplement en envoyant un e-mail piégé à un utilisateur.
Le risque est particulièrement élevé car l’attaque ne nécessite pas d’interaction : l’utilisateur n’a pas besoin d’ouvrir ou de répondre à l’e-mail pour être compromis. Ce type de vulnérabilité RCE (Remote Code Execution) figure dans les scénarios les plus redoutés pour les entreprises, car il peut conduire à des compromissions massives en quelques minutes.
Microsoft a publié un correctif rapidement, mais comme souvent, le véritable problème est le délai de déploiement dans les organisations. Beaucoup d’infrastructures continuent de fonctionner avec des serveurs Exchange non patchés ou des postes Outlook non mis à jour, créant une fenêtre d’attaque exploitable.
Le mois de janvier a également montré des campagnes actives exploitant la faille avant l’application généralisée du correctif, ce qui confirme sa gravité. Certaines entreprises ont tardé à réagir, évoquant la peur de « casser » leur environnement en appliquant les mises à jour, mais ce raisonnement finit souvent par coûter plus cher en cas d’incident.
Enfin, il faut rappeler que l’écosystème Microsoft reste une cible privilégiée : il concentre un grand nombre d’utilisateurs, et la complexité de l’infrastructure Exchange favorise les oublis de patchs. Une stratégie de mise à jour automatisée et monitorée est aujourd’hui indispensable.
