Votre PC est en danger : des pirates exploitent deux failles de Microsoft Defender, la protection intégrée à Windows
Deux failles critiques dans Microsoft Defender, l'antivirus intégré à Windows, sont activement exploitées par des pirates. L'agence américaine de cybersécurité CISA vient de tirer la sonnette d'alarme. Un correctif existe, mais il faut agir vite.
Microsoft Defender, le bouclier numérique qu'utilisent chaque jour des centaines de millions d'utilisateurs Windows, est actuellement dans le viseur de cybercriminels. Le 20 mai 2026, la CISA – l'agence américaine chargée de la cybersécurité des infrastructures – a ajouté deux nouvelles vulnérabilités affectant Microsoft Defender à son catalogue officiel des failles activement exploitées, connu sous le nom de catalogue KEV (Known Exploited Vulnerabilities). Ce catalogue n'est pas une simple liste théorique : il recense uniquement les failles pour lesquelles des attaques réelles ont été confirmées. Y figurer est un signal d'alarme sérieux.
Les deux failles concernées sont des vulnérabilités de 2026 : CVE-2026-41091, notée 7,8 sur 10 selon l'échelle de gravité CVSS, et CVE-2026-45498, notée 4,0 sur 10. Leurs mécanismes sont distincts, mais elles peuvent se combiner pour produire des effets dévastateurs.
Failles Microsoft Defender : le contrôle total d'un PC
La première faille, CVE-2026-41091, touche le Malware Protection Engine, le composant central de Microsoft Defender qui analyse les fichiers, détecte et nettoie les menaces sur Windows. Elle résulte d'une mauvaise gestion des liens système – une faiblesse dite de "link following" – qui permet à un attaquant disposant d'un accès limité à une machine d'abuser du moteur antivirus lui-même pour escalader ses droits jusqu'au niveau SYSTEM, soit le niveau de contrôle absolu sur Windows.
Concrètement, cela signifie qu'un pirate déjà présent sur un ordinateur – même avec des droits très limités – peut transformer cet accès restreint en contrôle total. À partir de là, il peut installer des logiciels malveillants, modifier des fichiers système, désactiver des protections de sécurité, ou créer de nouveaux comptes administrateurs.
Ce type d'attaque – appelée élévation de privilèges – est particulièrement prisé dans les opérations de ransomware et d'espionnage industriel, où l'objectif est d'abord d'entrer discrètement, puis de prendre progressivement la main sur l'ensemble du système.
La deuxième faille, CVE-2026-45498, affecte la plateforme Microsoft Defender Antimalware ainsi que plusieurs anciens produits de sécurité Microsoft, dont Security Essentials et System Center Endpoint Protection. Elle permet de provoquer un déni de service, c'est-à-dire de neutraliser temporairement l'antivirus lui-même. À première vue moins spectaculaire que la première, cette vulnérabilité est en réalité particulièrement dangereuse utilisée en combinaison : désactiver Defender à la demande crée une fenêtre d'invisibilité pendant laquelle d'autres logiciels malveillants peuvent s'exécuter sans être détectés, détournés ou bloqués.
Failles Microsoft Defender : une procédure d'urgence exceptionnelle
La CISA a fixé une date limite au 3 juin 2026 pour que toutes les agences fédérales civiles américaines appliquent les correctifs. C'est une procédure d'urgence peu courante : en temps normal, les délais accordés par la directive BOD 22-01 sont de plusieurs semaines. Le catalogue KEV est conçu pour trancher dans le bruit permanent des CVE : chaque mois voit déferler des centaines d'identifiants de vulnérabilités, de scores de gravité et d'avis de sécurité. Le catalogue ne liste que ce qui est réellement attaqué – ce qui en fait un outil de priorisation de premier ordre, au-delà du seul périmètre fédéral américain.
Autre détail qui mérite attention : parmi les sept vulnérabilités ajoutées le 20 mai au catalogue KEV, cinq sont des failles très anciennes, dont certaines remontent à 2008 et 2010. Leur présence dans cette liste signifie qu'en 2026, des systèmes non mis à jour continuent de se faire attaquer par des exploits vieux de quinze ans. Un rappel brutal que l'obsolescence des systèmes informatiques reste une des portes d'entrée les plus fréquentes des cyberattaques.
Failles Microsoft Defender : comment vérifier que votre PC est protégé
Microsoft a déjà déployé les correctifs. La version corrigée du moteur de protection est la 1.1.26040.8, et celle de la plateforme antimalware est la 4.18.26040.7. Pour vérifier si la mise à jour est bien installée sur votre machine, ouvrez l'application Sécurité Windows, puis rendez-vous dans "Protection contre les virus et menaces", et consultez la section "Mises à jour de la protection" ou "À propos" pour y lire le numéro de version affiché.
Même avec les mises à jour automatiques activées, les correctifs spécifiques à la plateforme Defender peuvent prendre du retard par rapport aux mises à jour Windows classiques. Une vérification manuelle s'impose donc, particulièrement dans les environnements professionnels où les mises à jour automatiques sont parfois désactivées ou différées pour des raisons de stabilité opérationnelle. Les deux failles concernent en priorité les environnements dans lesquels Defender est le seul outil de protection en place – ce qui est le cas de la grande majorité des particuliers et d'une partie significative des TPE et PME.
Cette affaire illustre un paradoxe régulier de la cybersécurité : l'outil censé protéger le système peut lui-même devenir un vecteur d'attaque. La meilleure réponse reste la même qu'elle soit face à une faille ancienne ou récente : mettre à jour, sans attendre.