CISA met en garde contre des attaques exploitant les vulnérabilités PowerPoint et HPE : ce qu’il faut savoir en 2026

L’agence américaine de cybersécurité CISA a intégré deux failles critiques à son catalogue des vulnérabilités déjà exploitées (KEV), alertant les entreprises sur des menaces actives. La première, une faille historique de Microsoft PowerPoint datant de 16 ans, et la seconde, une vulnérabilité majeure affectant les solutions HPE OneView.

En cette année 2026, les administrateurs système et les RSSI doivent réagir rapidement. En effet, l’ajout de ces vulnérabilités au catalogue CISA KEV signifie qu’elles sont exploitées dans la nature, nécessitant une mise à jour immédiate. Cette situation illustre une tendance inquiétante : même des logiciels vieillissants ou des équipements d’infrastructure peuvent devenir des vecteurs d’attaque privilégiés.

Analyse de la vulnérabilité HPE OneView (CVE-2025-37164)

La faille la plus récente et la plus sévère concerne HPE OneView, la solution de gestion de l’infrastructure informatique de Hewlett Packard Enterprise. Cette situation rappelle que les failles critiques sur les infrastructures représentent une menace invisible mais persistante.

Criticité et mécanisme

La vulnérabilité référencée CVE-2025-37164 possède un score CVSS de 10.0, le maximum absolu. Il s’agit d’une faille d’injection de code qui permet à un attaquant distant et non authentifié d’effectuer une exécution de code à distance (RCE). Concrètement, cela signifie qu’un acteur malveillant pourrait prendre le contrôle total de l’appliance HPE OneView sans avoir besoin d’identifiants, simplement en envoyant une requête malformée.

Étendue des versions affectées et correctifs

HPE a publié un avis de sécurité concernant les versions de OneView allant de la 5.20 à la 10.20. Pour se protéger, il est impératif d’appliquer le correctif (hotfix) de sécurité.

Points de vigilance pour les administrateurs :

• La mise à jour doit être réappliquée après chaque mise à niveau de l’appliance, notamment lors du passage de la version 6.60.xx à la 7.00.00.
• Une réimage de HPE Synergy Composer nécessite également une nouvelle application du patch.

Nuance apportée par la recherche

Bien que l’éditeur indique que toutes les versions jusqu’à la v10.20 sont concernées, les chercheurs de Rapid7 ont émis une hypothèse plus précise suite à leur analyse du Proof of Concept (PoC). Ils suspectent que seules les instances « HPE OneView for VMs » en version 6.x sont vulnérables, tandis que toutes les versions non corrigées de « HPE OneView for HPE Synergy » le seraient. L’absence de clarification officielle de la part du constructeur incite à la prudence et à l’application systématique des patchs.

La faille historique de Microsoft PowerPoint (CVE-2009-0556)

Il peut paraître surprenant qu’une faille de 2009 soit encore une menace en 2026. Pourtant, CVE-2009-0556 vient rejoindre le catalogue KEV.

Origine et contexte d’exploitation

Cette faille de type Code Injection affectait les versions anciennes de Microsoft Office PowerPoint (2000 SP3, 2002 SP3, 2003 SP3, et 2004 pour Mac). Initialement exploitée en avril 2009 par le malware Exploit:Win32/Apptom.gen, elle permettait à un attaquant d’exécuter du code arbitraire via un fichier PowerPoint malveillant.

Le mécanisme repose sur une corruption de mémoire déclenchée par la lecture d’une valeur d’index invalide dans un objet OutlineTextRefAtom. Si l’on se réfère au bulletin de sécurité de Microsoft de mai 2009 (MS09-017), le succès de l’exploitation offrait à l’attaquant un contrôle total sur le système compromis : installation de programmes, suppression de données, ou création de comptes à privilèges.

Pourquoi cette alerte aujourd’hui ?

L’ajout de cette vieille faille au catalogue CISA en 2026 suggère qu’elle est toujours utilisée dans des campagnes d’attaques ciblées, peut-être pour compromettre des environnements obsolètes non mis à jour ou pour contourner des systèmes hérités (legacy) encore en production dans certains secteurs.

Contexte et impact des ajouts au catalogue KEV

Une tendance de fond

L’ajout de CVE-2025-37164 et CVE-2009-0556 marque le début de l’année 2026, après l’intégration de 245 vulnérabilités en 2025. CISA a pour habitude d’ajouter des failles anciennes lorsqu’elles réapparaissent dans des attaques actives. Par exemple, une faille d’Excel de 2007 avait été ajoutée l’année précédente.

La plus ancienne faille toujours listée reste CVE-2002-0367, une élévation de privilèges dans le sous-système de débogage de Windows NT et 2000, utilisée par des groupes de rançongiciels.

L’exploitation active : le facteur déclencheur

CISA ne divulgue généralement pas les détails précis de l’exploitation pour ne pas faciliter le travail des cybercriminels. Cependant, le déclenchement de l’alerte pour la faille HPE a été precipité par la publication d’un Proof of Concept (PoC) par Rapid7 le 19 décembre 2025. Cette mise en ligne illustre comment les techniques d’exploitation modernes peuvent rapidement transformer une vulnérabilité technique en menace active. La mise en ligne d’un PoC public augmente considérablement le risque d’adoption de l’exploit par des attaquants moins sophistiqués.

Guide de mitigation et étapes d’action

Face à ces menaces, les équipes de sécurité doivent adopter une approche structurée. Voici les étapes recommandées pour sécuriser vos environnements.

1. Identification des actifs

La première étape consiste à scanner l’inventaire pour identifier les versions logicielles concernées.

• HPE OneView : Vérifiez la version installée. Si elle se situe entre 5.20 et 10.20, elle est potentiellement vulnérable.
• Microsoft PowerPoint : Identifiez les postes de travail ou serveurs hébergeant encore des versions très anciennes de Microsoft Office (2000 à 2004). Ces systèmes doivent être isolés ou mis hors service.

2. Application des correctifs

Pour HPE OneView :

1. Téléchargez le hotfix de sécurité disponible sur le site du support HPE.
2. Appliquez le correctif sur toutes les appliances concernées.
3. Si vous planifiez une mise à niveau majeure (ex: 6.60 vers 7.00), prévoyez de réappliquer le patch immédiatement après l’upgrade.

Pour Microsoft PowerPoint : Il n’existe pas de correctif récent pour ces versions historiques. La seule protection viable est :

1. Mettre à niveau vers une version moderne et supportée de Microsoft 365.
2. Si la mise à niveau est impossible, isoler strictement le système du réseau (air gap) ou bloquer l’accès aux fichiers Office suspects via des filtres e-mail et pare-feu.

3. Surveillance et détection

Comme Rapid7 a publié un module Metasploit pour CVE-2025-37164, les outils de détection basés sur les signatures IDS/IPS doivent être mis à jour immédiatement pour bloquer les signatures d’attaque connues. Il est également crucial de se familiariser avec les techniques de prévention avancées contre les vecteurs d’attaque par social engineering., les outils de détection basés sur les signatures IDS/IPS doivent être mis à jour immédiatement pour bloquer les signatures d’attaque connues.

4. Analyse comparative des risques

Voici un résumé pour aider à prioriser les actions selon le contexte de votre entreprise.

Conclusion et recommandations

L’actualité de la cybersécurité en 2026 nous rappelle une réalité essentielle : la surface d’attaque ne se limite pas aux logiciels récents. L’ajout de CVE-2025-37164 et CVE-2009-0556 au catalogue KEV de CISA prouve que les failles critiques, qu’elles soient fraîches ou séculaires, restent des armes redoutables entre les mains des cybercriminels.

Pour tout DPO ou responsable sécurité, le message est clair : l’hygiène de sécurité passe par la mise à jour des infrastructures critiques (HPE) et le retrait des logiciels obsolètes (PowerPoint anciens). N’attendez pas qu’une alerte Ransomware se déclenche pour agir. La vigilance et la réactivité sont les seuls remparts efficaces contre l’exploitation de ces vulnérabilités.