ActualitéIT, Data & IATechnologies

Une faille SharePoint est déjà exploitée, Microsoft demande d’agir rapidement

Une vulnérabilité importante affectant plusieurs versions de Microsoft SharePoint Server est désormais utilisée dans de véritables attaques. Les entreprises qui hébergent encore leur propre serveur SharePoint doivent vérifier immédiatement si les correctifs de mai 2026 ont bien été installés.

Répertoriée sous la référence CVE-2026-45659, la faille permet à un attaquant disposant d’un compte peu privilégié d’exécuter du code à distance sur un serveur vulnérable. Elle a obtenu une note de gravité de 8,8 sur 10.

L’Agence américaine de cybersécurité CISA l’a ajoutée le 1er juillet 2026 à son catalogue des vulnérabilités dont l’exploitation est confirmée. Les administrations fédérales américaines doivent appliquer les mesures de protection avant le 4 juillet. Cette échéance ne s’impose pas juridiquement aux entreprises françaises, mais elle illustre l’urgence de la situation.

Une faille qui permet d’exécuter du code sur le serveur

CVE-2026-45659 provient d’un problème de « désérialisation de données non fiables ». En pratique, SharePoint peut interpréter des données spécialement préparées par un attaquant d’une manière permettant le lancement de commandes ou de programmes sur le serveur.

L’attaque ne nécessite pas de convaincre un salarié d’ouvrir une pièce jointe ou de cliquer sur un lien. Elle peut être menée à distance par le réseau et ne demande aucune interaction supplémentaire de la victime.

L’attaquant doit néanmoins être authentifié. Il n’a pas besoin d’être administrateur : selon Microsoft, un compte disposant seulement des autorisations minimales d’un membre de site peut suffire. La complexité de l’exploitation est considérée comme faible, ce qui signifie qu’une fois l’accès obtenu, l’attaque peut être reproduite sans connaissances particulières sur la configuration de l’entreprise.

Ce point réduit le risque d’une attaque totalement anonyme, mais ne rend pas la faille anodine. Des identifiants SharePoint peuvent notamment être obtenus par hameçonnage, réutilisation de mots de passe compromis ou détournement d’un compte déjà présent dans l’organisation.

Quelles versions de SharePoint sont concernées ?

La vulnérabilité touche les éditions de SharePoint installées sur les propres serveurs des entreprises :

  • SharePoint Server 2016 et SharePoint Enterprise Server 2016 ;
  • SharePoint Server 2019 ;
  • SharePoint Server Subscription Edition.

Le catalogue officiel ne répertorie pas SharePoint Online, le service hébergé par Microsoft dans Microsoft 365, parmi les produits affectés. Une entreprise utilisant uniquement la version cloud n’est donc pas concernée par cette vulnérabilité précise. Une infrastructure hybride peut toutefois conserver d’anciens serveurs locaux qu’il faut contrôler.

Microsoft avait publié les correctifs dès le mois de mai 2026. La nouveauté n’est donc pas l’arrivée d’une mise à jour, mais la confirmation que des attaquants exploitent désormais la faille contre des systèmes qui ne l’ont pas encore installée.

Comment vérifier si le serveur a été corrigé ?

Les administrateurs doivent comparer la version installée sur chaque serveur de leur ferme SharePoint avec les versions corrigées publiées par Microsoft.

Version de SharePointMise à jour de sécuritéBuild corrigée
SharePoint Server 2016KB500286816.0.5552.1002
SharePoint Server 2019KB500287016.0.10417.20128
SharePoint Server Subscription EditionKB500286316.0.19725.20280

Microsoft confirme ces numéros de mises à jour et de builds dans ses pages d’assistance.

Une installation dont la build est antérieure à celle indiquée doit être considérée comme vulnérable. La vérification doit porter sur tous les serveurs de la ferme SharePoint, et pas seulement sur celui qui héberge l’administration centrale ou qui est directement accessible depuis Internet.

L’installation d’une mise à jour SharePoint demande généralement davantage de précautions qu’un simple correctif Windows. Les entreprises doivent respecter leur procédure de sauvegarde et de validation, mais l’exploitation active justifie de traiter cette opération en priorité.

Que doivent faire les entreprises immédiatement ?

La première mesure consiste à inventorier les serveurs SharePoint locaux et à déterminer lesquels sont accessibles depuis Internet. Un serveur oublié, utilisé par une ancienne application ou conservé pour des raisons d’archivage, peut rester exposé même si l’entreprise utilise principalement Microsoft 365.

Il faut ensuite :

  1. installer la mise à jour correspondant à la version de SharePoint ;
  2. confirmer que la build corrigée est présente sur chaque nœud ;
  3. limiter provisoirement l’accès aux serveurs qui ne peuvent pas être corrigés immédiatement ;
  4. vérifier les comptes membres des sites et supprimer les accès inutiles ;
  5. rechercher les connexions ou comportements inhabituels apparus avant l’installation du correctif.

La CISA recommande d’appliquer les mesures fournies par l’éditeur et d’interrompre l’utilisation du produit lorsqu’aucune protection n’est disponible. Elle demande aussi aux organisations d’évaluer précisément l’exposition Internet de chaque système.

L’installation du correctif protège contre de nouvelles tentatives, mais elle ne prouve pas qu’un serveur vulnérable n’a jamais été compromis. Si la machine était accessible depuis Internet avant sa mise à jour, une analyse des journaux, des fichiers récemment créés, des comptes et des processus inhabituels reste nécessaire.

Plus de 10 000 serveurs SharePoint seraient exposés sur Internet

Selon les données de Shadowserver citées par BleepingComputer, plus de 10 000 serveurs SharePoint étaient encore visibles sur Internet au moment de l’alerte. Ce chiffre ne permet pas de connaître le nombre exact de serveurs vulnérables, car certains peuvent déjà avoir reçu les mises à jour. Il montre néanmoins que la surface d’attaque potentielle reste importante.

La CISA n’a pas fourni de détails publics sur les pirates impliqués, les organisations visées ou la méthode exacte employée pendant les attaques observées. Il est donc impossible d’affirmer à ce stade qu’une campagne précise touche la France ou qu’un groupe particulier est responsable.

La confirmation d’une exploitation réelle suffit toutefois à changer la priorité du correctif. Une faille qui paraissait seulement théorique en mai est désormais utilisée sur le terrain.

Les utilisateurs de Microsoft 365 doivent-ils s’inquiéter ?

Un particulier ou un salarié utilisant SharePoint à travers un abonnement Microsoft 365 n’a normalement aucune mise à jour à installer lui-même. La vulnérabilité vise les versions serveur administrées localement par les entreprises.

La situation concerne principalement les services informatiques, les prestataires d’infogérance et les organisations possédant une installation SharePoint sur leurs propres machines.

Les utilisateurs peuvent néanmoins contribuer à réduire les risques en signalant rapidement les demandes de connexion inhabituelles, les notifications d’authentification non sollicitées ou les messages demandant de saisir leurs identifiants SharePoint. L’exploitation nécessite en effet un accès authentifié, même si celui-ci peut être faiblement privilégié.

Pour les entreprises concernées, la consigne est désormais claire : vérifier les builds, installer les correctifs de mai et examiner les serveurs qui sont restés exposés. Attendre le prochain cycle mensuel de mises à jour laisserait davantage de temps aux attaquants pour cibler les installations encore vulnérables.

Sources :

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.

Eric Thomas

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.

Voir tous les articles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *