Chaque mois, les administrateurs systèmes et les équipes de cybersécurité scrutent le Patch Tuesday de Microsoft. En septembre 2025, la cuvée est particulièrement riche : 81 vulnérabilités corrigées, dont deux zero-day critiques déjà exploitées dans la nature. Une actualité qui rappelle l’importance cruciale de maintenir ses systèmes à jour, tant pour les particuliers que pour les entreprises. Mais derrière les chiffres, que révèlent vraiment ces correctifs, et quelles leçons tirer pour l’avenir de la sécurité Windows ?
1. Une cartographie inquiétante : 81 failles en un mois
Le bilan de Microsoft est sans appel : 81 vulnérabilités touchant Windows et ses composants ont été corrigées. Leur répartition illustre bien les priorités actuelles des cyberattaquants :
- 31 failles d’élévation de privilèges : ce type de vulnérabilité est particulièrement redouté car il permet à un attaquant ayant déjà un pied dans le système d’en prendre le contrôle complet.
- 22 vulnérabilités d’exécution de code à distance (RCE) : ce sont celles qui font frémir les RSSI, puisqu’elles permettent de lancer du code malveillant sans interaction directe de l’utilisateur.
- 11 failles de déni de service (DoS) : si elles ne permettent pas d’espionner ou d’installer un malware, elles peuvent bloquer des services critiques en entreprise.
- 9 fuites d’informations : moins spectaculaires, mais utiles pour préparer d’autres attaques.
- 5 failles d’usurpation d’identité (spoofing) et 3 failles liées à la défense en profondeur complètent la liste.
Ces chiffres montrent une constante : les attaquants cherchent avant tout à monter en privilèges et à prendre le contrôle à distance.
2. Focus sur les deux zero-day critiques
CVE-2025-55234 : SMB, talon d’Achille de Windows
La première faille touche le serveur SMB de Windows (Server Message Block), un protocole fondamental utilisé pour le partage de fichiers et d’imprimantes. Déjà visée par de nombreuses attaques par le passé (on se souvient de WannaCry en 2017), cette brique reste une cible de choix.
Concrètement, la vulnérabilité permet une élévation de privilèges via des attaques de relais NTLM. Un attaquant positionné sur le réseau interne peut exploiter la faille pour s’octroyer des droits élevés et progresser latéralement, jusqu’à compromettre l’ensemble d’un domaine Active Directory.
En clair : un poste infecté peut rapidement devenir la porte d’entrée vers tout un réseau d’entreprise.
CVE-2024-21907 : une bombe à retardement dans SQL Server
La deuxième faille concerne la bibliothèque Newtonsoft.Json, très utilisée dans les environnements SQL Server. Elle permet de déclencher un déni de service en envoyant des requêtes malveillantes qui saturent le processus de traitement.
Si elle ne permet pas directement d’exécuter du code, son exploitation peut être dévastatrice en production : un service critique qui tombe en panne suffit souvent à paralyser une activité (banques, e-commerce, services publics).
3. Quels systèmes sont concernés ?
La vague de correctifs touche pratiquement tout l’écosystème Microsoft :
- Windows 10 et 11 (toutes éditions maintenues)
- Windows Server (2016, 2019, 2022, et les versions Azure)
- Hyper-V (machines virtuelles)
- SQL Server et ses composants associés
- Microsoft Office et la suite .NET
Autrement dit : rares sont les environnements qui échappent à ce Patch Tuesday.
4. Des mesures de mitigation à activer dès maintenant
Microsoft recommande plusieurs actions urgentes :
- Activer la signature SMB et l’Extended Protection for Authentication (EPA) afin de réduire les risques d’exploitation de CVE-2025-55234.
- Appliquer les mises à jour SQL Server et vérifier les applications tierces qui embarquent la bibliothèque Newtonsoft.Json.
- Segmenter les réseaux pour limiter l’exposition des services SMB aux seules machines qui en ont réellement besoin.
- Surveiller les journaux Windows : les tentatives d’exploitation SMB peuvent générer des anomalies détectables.
5. Les impacts pour les entreprises
Pour les professionnels, ces correctifs ne sont pas une option mais une urgence. Les vulnérabilités SMB rappellent que les attaques internes ou latérales restent un cauchemar pour les DSI. Dans un contexte où le télétravail et les accès distants se multiplient, un service mal configuré peut suffire à déclencher une compromission massive.
Les responsables IT doivent donc :
- Prioriser le déploiement des patchs sur les serveurs exposés.
- Tester les correctifs dans des environnements pilotes (surtout pour SQL Server, où un redémarrage peut impacter des applications critiques).
- Prévoir des plans de reprise en cas de panne liée à un patch (rollback).
6. Et pour les particuliers ?
Même si la majorité des attaques zero-day ciblent les entreprises, les particuliers ne sont pas épargnés. Un simple PC Windows utilisé sans mises à jour constitue une cible facile pour des botnets ou des ransomwares.
La règle est simple :
- Activer Windows Update et ne pas reporter indéfiniment les redémarrages.
- Sauvegarder régulièrement ses données, car un système compromis peut toujours être victime d’un chiffrement malveillant.
7. Un écosystème sous pression permanente
Ces 81 failles corrigées en un seul mois rappellent une vérité : Windows est constamment sous pression. Sa position dominante dans les entreprises en fait une cible de choix pour les attaquants, qui savent qu’une seule vulnérabilité peut leur ouvrir des millions de portes.
En parallèle, Microsoft est critiqué pour la complexité croissante de son écosystème et pour les retards parfois observés entre la découverte d’une faille et sa correction. Mais il faut aussi reconnaître que la publication mensuelle des patchs est un exercice titanesque, qui sécurise des milliards d’utilisateurs.
Conclusion
Le Patch Tuesday de septembre 2025 restera comme l’un des plus significatifs de l’année : 81 vulnérabilités corrigées, dont deux zero-day déjà exploitées. L’une touche le protocole SMB, maillon critique du monde Windows, l’autre SQL Server, pilier de nombreuses applications d’entreprise.
Pour les administrateurs, le message est clair : appliquer les correctifs sans délai, renforcer les configurations SMB et surveiller les environnements SQL. Pour les particuliers, la consigne est plus simple : ne pas ignorer Windows Update.
La sécurité informatique n’est jamais acquise. Chaque mois, les patchs rappellent que le logiciel est vivant, imparfait et attaqué en permanence. Et que la meilleure défense reste, encore et toujours, une discipline de fer dans la gestion des mises à jour.
FAQ pratique
Qu’est-ce qu’un zero-day ?
Un zero-day est une faille de sécurité qui est déjà exploitée (ou dont les détails techniques sont publiés) avant que l’éditeur du logiciel n’ait eu le temps de publier un correctif. C’est le scénario le plus redouté, car les utilisateurs n’ont aucune protection tant que la mise à jour n’est pas appliquée.
Comment savoir si mon PC est à jour ?
Sur Windows 10 et 11 :
- Ouvrir Paramètres → Mise à jour et sécurité → Windows Update.
- Cliquer sur Rechercher des mises à jour.
Si le correctif est installé, Windows affichera que le système est à jour.
Dois-je craindre SMB si j’utilise Windows à la maison ?
Pas vraiment : chez les particuliers, SMB est rarement exposé à Internet. Le risque principal concerne les entreprises où SMB est utilisé massivement en réseau interne. Pour un usage domestique, garder Windows Update activé suffit.
Que faire si une mise à jour Windows provoque un bug ?
Il est conseillé d’attendre quelques jours avant d’appliquer les mises à jour cumulatives si ton PC est critique (montage vidéo, machine de travail sensible, etc.). En cas de problème, Windows permet de désinstaller la dernière mise à jour dans les paramètres.
Les correctifs Microsoft suffisent-ils pour être protégé ?
Ils sont indispensables, mais pas suffisants. Il faut aussi :
- Utiliser un antivirus à jour.
- Sauvegarder régulièrement ses données.
- Éviter les logiciels provenant de sources non fiables.
