CISA met en garde : vulnérabilités critiques dans PowerPoint et HPE OneView en 2026

Hippolyte Valdegré

La CISA (Cybersecurity and Infrastructure Security Agency) vient d’ajouter deux vulnérabilités critiques à son catalogue des vulnérabilités connues et exploitées (KEV) au début de l’année 2026. Cette alerte concerne une faille historique de Microsoft PowerPoint et une vulnérabilité de sévérité maximale dans le logiciel de gestion d’infrastructure HPE OneView.

Ces ajouts ne sont pas anodins : ils interviennent alors que les groupes de cybercriminels intensifient leurs attaques sur des logiciels omniprésents dans les entreprises. La première faille, CVE-2009-0556, affecte une version très ancienne de PowerPoint, prouvant que des systèmes non patchés depuis des années circulent encore dans les environnements d’entreprise. La seconde, CVE-2025-37164, est une vulnérabilité de code à distance (RCE) de sévérité maximale (score CVSS 10.0) découverte à la fin de 2025, pour laquelle un module d’exploitation est déjà disponible.

Pour les administrateurs système et les responsables de la sécurité informatique en France, cette alerte signifie qu’une action immédiate est requise. Ces vulnérabilités démontrent la persistance des menaces, même sur des outils ou des composants anciens, et soulignent l’importance vitale de la gestion des correctifs.

Analyse de la vulnérabilité HPE OneView (CVE-2025-37164)

La faille la plus préoccupante actuellement est sans conteste la vulnérabilité affectant HPE OneView. D’une sévérité critique, elle permet à un attaquant distant d’exécuter du code arbitraire sur le serveur cible sans même avoir d’informations d’identification.

Nature de la menace et mécanisme

Il s’agit d’une vulnérabilité d’injection de code (Code Injection), une technique parmi d’autres comme les faux écrans de plantage pour compromettre les systèmes. Concrètement, CVE-2025-37164 permet à un utilisateur non authentifié de provoquer une exécution de code à distance (RCE). Une fois la faille exploitée, l’attaquant prend le contrôle total de l’ appliance HPE OneView.

Les conséquences pour une entreprise sont graves :

  • L’attaquant peut installer des logiciels malveillants (ransomware, keyloggers).
  • Il peut voler ou détruire des données sensibles de gestion d’infrastructure.
  • Il peut utiliser le serveur compromis comme point d’entrée pour mouvements latéraux vers le reste du réseau.

État de l’exploitation et correctifs

L’ajout au catalogue KEV de la CISA en janvier 2026 confirme que cette vulnérabilité est exploitée “dans la nature”, souvent dans le cadre de campagnes de cryptomonnaies 2026 complexes. L’alerte fait suite à la publication d’un Proof of Concept (PoC) par Rapid7 le 19 décembre 2025, ce qui a accéléré la mise à disposition d’outils d’exploitation automatisés, notamment via le framework Metasploit.

HPE a réagi en publiant un correctif d’urgence (hotfix). Cependant, la situation présente une complexité technique :

  1. Versions concernées : Le correctif s’applique aux versions 5.20 à 10.20.
  2. Mise à jour critique : Si vous effectuez une mise à niveau de la version 6.60.xx vers la version 7.00.00, ou si vous réimaginez un HPE Synergy Composer, le correctif doit être réappliqué.
  3. Ambiguïté sur le périmètre : Rapid7 a émis l’hypothèse que seules les versions “HPE OneView for VMs” en 6.x seraient vulnérables, contrairement aux versions “HPE OneView for HPE Synergy”. Une clarification officielle de la part d’HPE reste attendue pour confirmer l’étendue exacte des systèmes à risque.

La faille PowerPoint (CVE-2009-0556) : une menace d’outre-tombe

L’ajout d’une vulnérabilité de 2009 au catalogue en 2026 peut sembler surprenant, mais il met en lumière un problème persistant de l’hygiène de sécurité informatique : l’obsolescence non gérée.

Un problème de mémoire corrompue

Cette faille affecte Microsoft Office PowerPoint 2000 SP3, 2002 SP3, 2003 SP3, et PowerPoint dans Office 2004 pour Mac. Le mécanisme repose sur une corruption de mémoire. Lorsqu’un fichier PowerPoint malveillant contenant un OutlineTextRefAtom avec un index invalide est ouvert, il déclenche une erreur de mémoire qui permet l’exécution de code.

Historique et risque actuel

Cette vulnérabilité a été exploitée pour la première fois massivement en avril 2009 par le malware Exploit:Win32/Apptom.gen. Microsoft a publié un correctif en mai 2009 (Bulletin MS09-017).

Pourquoi cette alerte en 2026 ? Elle vise les environnements qui n’ont jamais été mis à jour ou qui hébergent des archives de fichiers Office anciens. Si un utilisateur ouvre un fichier PowerPoint créé il y a plus de 15 ans sur un poste non patché, le risque de compromission demeure réel. La CISA rappelle que même des vulnérabilités anciennes peuvent être réutilisées par des ransomwares ou des groupes d’espionnage pour cibler des actifs négligés.

Contexte et impact sur le marché français

L’ampleur des ajouts au catalogue KEV

Cette alerte marque le coup d’envoi de l’année 2026 pour le catalogue de la CISA. Pour mettre cela en perspective, l’année 2025 avait déjà vu l’ajout de 245 vulnérabilités. Le fait que CVE-2009-0556 soit ajouté montre que la CISA élargit son radar au-delà des failles récentes pour inclure les vulnérabilités historiques qui restent actives.

Selon les derniers rapports de l’ANSSI et de la CISA, les attaques sur les outils de gestion d’infrastructure (comme HPE OneView) augmentent, car ils représentent des cibles à haute valeur. En moyenne, le temps de traitement d’une vulnérabilité critique dépasse souvent les 60 jours dans les grandes structures, laissant une fenêtre d’opportunité pour les attaquants.

Étude de cas : Le scénario d’une entreprise française

Imaginez une entreprise de services financiers basée à Paris utilisant HPE OneView pour gérer son parc de virtualisation. Un attaquant exploite CVE-2025-37164 via un module Metasploit accessible publiquement.

  1. Infiltration : L’attaquant envoie une requête malveillante à l’interface web d’OneView.
  2. Prise de contrôle : Le serveur est compromis sans authentification.
  3. Impact : L’attaquant accède aux configurations des serveurs virtuels, potentiellement aux secrets d’infrastructure, et peut déployer un ransomware sur l’ensemble du cluster.

Ce cas illustre pourquoi la réactivité sur les correctifs HPE est impérative.

Stratégie de mitigation et étapes d’action

Face à ces menaces, une approche réactive n’est pas suffisante. Voici les étapes à suivre pour sécuriser vos environnements.

1. Identification et inventaire

La priorité absolue est de savoir si vous êtes vulnérable.

  • Pour HPE OneView : Vérifiez la version installée sur vos appliances. Si vous utilisez une version comprise entre 5.20 et 10.20 sans le hotfix, vous êtes à risque.
  • Pour PowerPoint : Identifiez les postes de travail ou les serveurs disposant encore de versions obsolètes de Microsoft Office (2000, 2002, 2003, 2004 Mac). Ces versions ne sont plus supportées depuis longtemps et doivent être remplacées.

2. Application des correctifs

  • HPE : Téléchargez et appliquez le correctif de sécurité disponible sur le portail de support HPE. Si vous planifiez une mise à niveau majeure (v6 à v7), assurez-vous de réappliquer le patch post-migration.
  • Microsoft : Pour les environnements où l’utilisation de vieux fichiers est nécessaire, utilisez une version moderne et supportée de Microsoft 365 ou Office. Activez les fonctionnalités de sécurité intégrées comme “Protection contre les documents infectés”.

3. Mesures de défense en profondeur

Même avec les correctifs, des mesures complémentaires sont nécessaires :

  • Segmentation réseau : Isoler les appliances de gestion (comme HPE OneView) sur un VLAN de gestion dédié, accessible uniquement par les administrateurs légitimes.
  • Analyse comportementale : Mettre en place des solutions de détection d’intrusion (IDS/IPS) pour surveiller les traffic anormal vers les appliances OneView.
  • Sensibilisation : Former les utilisateurs à ne jamais ouvrir des fichiers PowerPoint provenant de sources inconnues, surtout s’ils semblent anciens ou inhabituels.

4. Réponse à incident

Si vous suspectez une exploitation de CVE-2025-37164 (par exemple, des activités inattendues sur l’appliance OneView) :

  1. Déconnectez immédiatement l’appliance du réseau.
  2. Sauvegardez les logs pour analyse forensique.
  3. Reconstruisez l’appliance à partir d’une image saine et réappliquez les correctifs.

Conclusion : La vigilance doit être constante

L’alerte conjointe de la CISA sur les vulnérabilités CVE-2025-37164 et CVE-2009-0556 est un signal fort pour l’industrie. Elle rappelle deux réalités du monde de la cybersécurité en 2026 : la complexité croissante des logiciels d’infrastructure, où une seule faille de configuration peut mener à une prise de contrôle totale, et la longévité des menaces, où des failles datant de plus de 15 ans peuvent encore servir d’arme aux cybercriminels.

Pour les entreprises françaises, l’application rapide du correctif HPE OneView est une priorité immédiate. Parallèlement, il est temps de faire un audit de fond de tiroir pour éliminer définitivement les versions obsolètes de Microsoft Office qui constituent une porte d’entrée négligée mais réelle. La sécurité ne se résume pas aux dernières technologies, elle repose avant tout sur une gestion rigoureuse des actifs et des correctifs, une approche qui nécessite de comprendre les menaces invisibles.