Microsoft a publié le 14 janvier 2025 une mise à jour de sécurité essentielle pour corriger une vulnérabilité critique dans Outlook. Cette faille permettrait à des attaquants d’exécuter du code malveillant sur un ordinateur sans aucune action de l’utilisateur, simplement en affichant l’aperçu d’un e-mail compromis.
Une faille exploitée via l’aperçu des e-mails
Identifiée sous le code CVE-2025-21298, cette vulnérabilité concerne la technologie Windows Object Linking and Embedding (OLE), intégrée à plusieurs produits Microsoft, dont Outlook. Un cybercriminel pourrait envoyer un e-mail spécialement conçu qui, dès son affichage en mode aperçu, déclencherait automatiquement l’exécution de code malveillant. Aucun clic ni téléchargement n’est nécessaire, ce qui rend cette faille particulièrement dangereuse. Microsoft considère d’ailleurs son exploitation comme hautement probable.
Comment se protéger ?
- Installer la mise à jour : La solution la plus sûre est d’appliquer sans tarder le correctif fourni par Microsoft.
- Activer le mode texte brut : Si la mise à jour ne peut pas être installée immédiatement, il est recommandé de modifier les paramètres d’Outlook pour afficher les e-mails en mode texte brut, ce qui réduit les risques d’exploitation. Pour cela :
- Accéder à Fichier → Options → Centre de gestion de la confidentialité → Paramètres du Centre de gestion de la confidentialité…
- Dans Sécurité des e-mails, cocher :
- “Lire tous les messages standard en texte brut”
- “Lire les messages signés numériquement en texte brut”
- Faire preuve de vigilance : Même avec le mode texte brut activé, il est conseillé de ne pas ouvrir d’e-mails provenant d’expéditeurs inconnus.
Le BSI recommande d’installer ce correctif en priorité absolue.
Source : BSI
Sarah Bouchaib, Je suis une passionnée de technologie et de culture geek. J’adore les jeux vidéo, les cryptomonnaies, les télécoms, et tout ce qui touche au numérique.
