Microsoft Defender est touché par une faille de sécurité désormais exploitée dans des attaques par rançongiciel. Référencée sous le nom CVE-2026-33825 et surnommée BlueHammer, cette vulnérabilité permet à un pirate déjà présent sur un ordinateur d’obtenir les privilèges les plus élevés de Windows. Microsoft a publié un correctif le 14 avril 2026.
BlueHammer permet d’obtenir les privilèges SYSTEM
La faille BlueHammer provient d’un contrôle insuffisamment précis des droits d’accès dans Microsoft Defender. Elle a reçu un score de gravité de 7,8 sur 10, correspondant à un niveau élevé.
Un attaquant disposant déjà de droits limités sur l’ordinateur peut exploiter cette faiblesse pour accéder à des ressources normalement protégées. Il peut notamment atteindre la base Security Account Manager, qui contient les empreintes des mots de passe associés aux comptes locaux.
Cette exploitation peut lui permettre d’obtenir les privilèges SYSTEM, le niveau d’accès le plus élevé sous Windows. Le pirate peut alors exécuter des commandes, manipuler des fichiers protégés ou prendre le contrôle complet de la machine.
La faille nécessite un premier accès à l’ordinateur
BlueHammer ne permet pas d’attaquer directement un PC depuis Internet sans accès préalable. Le pirate doit d’abord réussir à exécuter un programme sur la machine ou compromettre un compte disposant de droits locaux.
Ce premier accès peut provenir d’un courriel malveillant, d’un mot de passe volé, d’un logiciel piégé ou d’une autre vulnérabilité.
Une fois installé sur l’ordinateur, l’attaquant peut utiliser BlueHammer pour augmenter ses privilèges, contourner certaines protections, récupérer des données supplémentaires ou préparer le déploiement d’un rançongiciel.
Des groupes de rançongiciels exploitent désormais BlueHammer
La CISA, l’agence américaine chargée de la cybersécurité, a ajouté CVE-2026-33825 à son catalogue des vulnérabilités activement exploitées le 22 avril 2026.
L’agence a ensuite indiqué que cette faille était aussi utilisée dans des campagnes de rançongiciels. BlueHammer avait déjà été exploitée comme faille zero-day, avant que les utilisateurs disposent d’un correctif.
L’existence publique d’un code permettant de reproduire l’attaque augmente également le risque pour les ordinateurs qui n’ont pas encore reçu la mise à jour.
Microsoft Defender doit être mis à jour immédiatement
Microsoft a corrigé BlueHammer lors des mises à jour de sécurité publiées le 14 avril 2026. Les versions de la plateforme Microsoft Defender antérieures à la 4.18.26030.3011 sont répertoriées comme vulnérables.
Les composants de Microsoft Defender sont généralement actualisés automatiquement. Une vérification manuelle reste possible depuis l’application Sécurité Windows.
Il faut ouvrir la rubrique Protection contre les virus et menaces, accéder aux mises à jour de la protection, puis rechercher les nouvelles versions disponibles. Il est également recommandé de lancer Windows Update afin d’installer tous les correctifs du système.
Les entreprises doivent rechercher les traces d’une intrusion
La mise à jour doit être appliquée en priorité sur les ordinateurs professionnels, les serveurs et les machines accessibles à distance. Ces systèmes sont particulièrement recherchés par les groupes spécialisés dans les rançongiciels.
Installer le correctif bloque les nouvelles tentatives d’exploitation de BlueHammer, mais ne supprime pas une éventuelle infection antérieure. Les administrateurs doivent donc rechercher les connexions inhabituelles, les élévations de privilèges suspectes et les modifications apportées aux protections de Microsoft Defender.
Une machine compromise avant l’installation du correctif peut toujours contenir un logiciel malveillant ou un accès dissimulé utilisé par les attaquants.

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.
