Mettez vite Windows à jour : des hackers exploitent une grave faille de sécurité
Déjà exploitée activement, une grave faille de sécurité dans Windows 10 et Windows 11 permet à des pirates de prendre le contrôle total de PC. Il faut installer d'urgence le correctif publié il y a plusieurs mois par Microsoft.
C'est le scénario que redoutent tous les experts en cybersécurité : un correctif diffusé depuis longtemps, mais des millions d'ordinateurs encore vulnérables. Dans un bulletin d'alerte inquiétant publié le 20 octobre 2025, l'agence américaine de cybersécurité, la CISA, a confirmé qu'une faille critique de Windows, corrigée par Microsoft dès le mois de juin, est désormais exploitée dans des attaques bien réelles.
Le plus grave, c'est que cette vulnérabilité référencée sous le doux nom de CVE-2025-33073 touche toutes les versions de Windows Server, Windows 10 et Windows 11, jusqu'à la version 24H2 – la toute nouvelle version 25H2 semble épargnée. Autrement dit, quiconque n'a pas appliqué les dernières mises à jour risque de voir son PC transformé en marionnette à distance, entre les mains d'un pirate.
Faille SMB : une vulnérabilité connue et déjà corrigée
Le scénario d'attaque n'a rien d'un film d'espionnage : il repose simplement sur une faiblesse dans un outil de partage intégré à Windows, dans la gestion des droits d'accès et de l'authentification du protocole SMB. En trompant la victime – par exemple avec un lien ou un fichier piégé –, un hacker peut pousser l'ordinateur à se connecter à une serveur piégé. À partir de là, le système exécute sans le savoir un programme malveillant, donnant à l'assaillant les droits les plus élevés : installation de logiciels, vol ou effacement de données, propagation dans un réseau professionnel… Bref, un contrôle total sur l'ordinateur et son précieux contenu.
Autrement dit, le cybercriminel peut utiliser la machine comme s'il était assis devant et sauter même d'un poste à l'autre au sein d'un réseau. Ce genre d'attaque est particulièrement redouté dans les entreprises, où un seul poste infecté peut suffire à compromettre tout un réseau.
La faille en question n'est pas nouvelle : elle figurait déjà dans le Patch Tuesday de juin 2025, le grand lot mensuel de correctifs publié par Microsoft. À l'époque, la firme de Redmond avertissait que des détails techniques circulaient déjà, mais sans preuve d'exploitation active. Quatre mois plus tard, la menace est devenue réalité.
La CISA, qui supervise la cybersécurité des infrastructures américaines, a ordonné immédiatement à toutes les agences fédérales de corriger leurs systèmes avant le 10 novembre 2025. Elle invite les entreprises et les particuliers à faire de même, rappelant que les failles non corrigées sont la porte d'entrée la plus courante pour les cybercriminels.
Failles de Windows : les utilisateurs trop lents à réagir
Le problème, cette fois encore, ne vient pas de Microsoft mais du réflexe des utilisateurs. Beaucoup repoussent les mises à jour, par peur d'un redémarrage intempestif ou d'un bug. D'autres ignorent simplement les alertes. Résultat : des millions de machines restent vulnérables, offrant aux attaquants un terrain de jeu parfait.
Microsoft recommande d'activer une mesure de sécurité supplémentaire sur les serveurs, mais cela ne remplace pas la mise à jour de juin. Et contrairement à ce que certains imaginent, il ne s'agit pas d'un simple correctif mineur : c'est celui qui protège un PC d'une attaque redoutable.
Ce n'est pas la première fois qu'une faille de Windows devient un cauchemar à cause d'un patch ignoré. Le souvenir de WannaCry, en 2017, reste gravé dans les mémoires : le rançongiciel avait paralysé hôpitaux, entreprises et administrations, en exploitant une faille très similaire.
Huit ans plus tard, l'histoire menace de se répéter. Les pirates n'ont même plus besoin de chercher : les ordinateurs non mis à jour se repèrent facilement sur Internet. Et ceux qui n'ont pas pris dix minutes pour installer un correctif en juin sont aujourd'hui leurs cibles privilégiées.