Blog

CVE-2026-42897 : faille Exchange exploitée activement.

Article

Publié le, 15 May 2026 par Core Security
CVE-2026-42897 : faille Exchange exploitée activement

Description

CVE-2026-42897 : faille critique Exchange Server exploitée activement. Score CVSS 8.1, XSS via OWA. Ce que les PME doivent faire maintenant pour se protéger.

⏱ Temps de lecture estimé : ~12 minutes

📑 Sommaire

CVE-2026-42897 : la faille Microsoft Exchange Server activement exploitée — ce que vous devez faire maintenant

Le 14 mai 2026, Microsoft a divulgé une vulnérabilité critique dans son serveur de messagerie Exchange Server. Référencée CVE-2026-42897, cette faille est déjà exploitée activement par des cybercriminels au moment de sa publication — sans qu'un correctif définitif soit encore disponible.

Pour un dirigeant de PME, cela signifie une chose concrète : si votre entreprise utilise un serveur Exchange installé en interne (une configuration « on-premises »), vous êtes potentiellement exposé dès aujourd'hui. Un simple email malveillant ouvert dans votre interface webmail peut suffire à compromettre vos sessions utilisateurs et à offrir un accès à votre messagerie à un attaquant.

Dans cet article, nous vous expliquons ce qu'est réellement cette faille, pourquoi elle vous concerne, et surtout quelles actions concrètes engager immédiatement. Notre guide pour protéger votre PME contre les cyberattaques vous permettra d'aller plus loin.

CVE-2026-42897 en bref : définition et niveau de risque

Qu'est-ce que la CVE-2026-42897 ?

CVE-2026-42897 est une vulnérabilité de type spoofing (usurpation d'identité) et Cross-Site Scripting (XSS) dans Microsoft Exchange Server. Elle affecte l'interface webmail Outlook Web Access (OWA). Un attaquant peut envoyer un email spécialement conçu : si le destinataire l'ouvre dans OWA, du code JavaScript malveillant s'exécute automatiquement dans son navigateur, sans qu'il ait besoin de cliquer sur un lien ou d'ouvrir une pièce jointe.

Caractéristique Détail
Référence CVE-2026-42897
Score CVSS 3.1 8.1 / 10 (Élevé)
Type de faille XSS / Spoofing (usurpation d'identité)
Vecteur d'attaque Email malveillant → ouverture dans OWA
Authentification requise Non (attaquant non authentifié)
Statut Exploitée activement dans la nature
Correctif définitif En cours de développement (non disponible à date)
Atténuation temporaire Disponible via Exchange Emergency Mitigation Service (EEMS)
Date de divulgation 14 mai 2026

Suis-je concerné par la CVE-2026-42897 ?

Vous êtes concerné si votre entreprise utilise l'une de ces versions d'Exchange Server installée sur vos propres serveurs (on-premises) :

  • Microsoft Exchange Server 2016 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 14 ou CU15
  • Microsoft Exchange Server Subscription Edition (SE) RTM

Exchange Online (Microsoft 365) n'est pas touché. Si votre messagerie est hébergée directement par Microsoft dans le cloud, vous n'avez aucune action à mener pour cette faille.

Comment fonctionne l'attaque concrètement ?

Comprendre le mécanisme d'attaque permet de mieux évaluer le risque réel pour votre organisation.

L'email piégé, point d'entrée de l'attaque

L'attaquant envoie un email malveillant à un utilisateur de votre organisation. Cet email contient du code JavaScript dissimulé dans son contenu HTML. Il n'est pas nécessaire que l'expéditeur soit connu ou de confiance : n'importe qui peut initier cette attaque depuis internet, sans avoir préalablement compromis un compte.

L'exécution silencieuse via OWA

Dès que le destinataire ouvre cet email dans Outlook Web Access (OWA) — c'est-à-dire via son navigateur web, par exemple sur mail.votre-entreprise.fr — le code JavaScript s'exécute automatiquement dans le contexte de sa session. Cette technique s'appelle le Cross-Site Scripting (XSS) : elle exploite le fait que le serveur Exchange ne filtre pas correctement le contenu des emails reçus avant de les afficher.

Les conséquences immédiates

Une fois le code exécuté dans le navigateur de la victime, l'attaquant peut :

  • Voler la session OWA active de l'utilisateur (ce qu'on appelle le session hijacking)
  • Accéder à tous les emails de la boîte sans connaître le mot de passe
  • Lire, copier ou supprimer des messages confidentiels
  • Envoyer des emails au nom de la victime pour des attaques de type arnaque au président
  • Collecter des informations sur les contacts, les calendriers et les pièces jointes

Le tout se déroule sans que l'utilisateur s'en rende compte. Aucune alerte de sécurité, aucun avertissement visible. C'est précisément ce qui rend cette faille si dangereuse pour les PME, dont les équipes ne sont pas nécessairement formées à détecter ces comportements suspects.

Pourquoi cette faille est particulièrement risquée pour les PME françaises

Des serveurs Exchange encore très présents dans les TPE/PME

Exchange Server reste l'une des solutions de messagerie les plus déployées dans les entreprises françaises. Beaucoup de PME utilisent encore des serveurs Exchange installés en interne, souvent pour des raisons de contrôle des données, de contraintes réglementaires ou simplement parce que la migration vers le cloud n'a pas encore été planifiée.

Depuis octobre 2025, Microsoft a officiellement mis fin au support standard d'Exchange 2016 et 2019. Les entreprises qui n'ont pas encore migré vers Exchange SE ou vers Exchange Online, ou qui n'ont pas souscrit au programme de support étendu (ESU), se retrouvent dans une situation délicate : elles s'exposent à des failles critiques comme CVE-2026-42897 sans correctif définitif accessible.

La messagerie, cœur de toutes les attaques

Selon Cybermalveillance.gouv.fr, la messagerie électronique reste le principal vecteur d'attaque contre les entreprises françaises. Phishing, ransomware, arnaque au président — tout commence par un email. Une faille dans le serveur de messagerie lui-même amplifie considérablement ce risque : l'attaquant ne cherche plus seulement à duper l'utilisateur, il prend directement le contrôle de sa session.

Un risque de propagation rapide

Une fois un compte email compromis via cette faille, l'attaquant dispose d'un accès privilégié pour lancer d'autres attaques en interne : usurpation d'identité vers vos collaborateurs, fournisseurs ou clients, demandes de virements frauduleux ou exfiltration de données. Le phishing ciblé interne est l'une des menaces les plus difficiles à détecter car il provient d'une adresse interne légitime et de confiance.

L'alerte officielle du CERT-FR : ce que vous devez savoir

Le CERT-FR (ANSSI) a publié le 15 mai 2026 un avis de sécurité officiel — référencé CERTFR-2026-AVI-0599 — signalant cette vulnérabilité comme activement exploitée. L'avis identifie deux risques principaux :

  • Injection de code indirecte à distance (XSS)
  • Contournement de la politique de sécurité

Le CERT-FR recommande de se référer immédiatement au bulletin de sécurité Microsoft pour appliquer les mesures d'atténuation disponibles. Cette publication par l'autorité nationale de cybersécurité confirme que la menace est sérieuse et cible déjà les organisations françaises.

L'ANSSI rappelle régulièrement que le délai entre la divulgation d'une vulnérabilité et son exploitation s'est considérablement réduit. Pour CVE-2026-42897, l'exploitation a débuté en simultané de la publication officielle.

Les versions d'Exchange affectées : êtes-vous vulnérable ?

Version Exchange Server Vulnérable ? Correctif disponible ? Atténuation temporaire ?
Exchange Server 2016 CU23 Oui En cours (programme ESU) Oui (EEMS)
Exchange Server 2019 CU14 Oui En cours (programme ESU) Oui (EEMS)
Exchange Server 2019 CU15 Oui En cours (programme ESU) Oui (EEMS)
Exchange Server SE RTM Oui En cours de développement Oui (EEMS)
Exchange Server 2013 Risque maximal Non (fin de support définitive) Non
Exchange Online (Microsoft 365) Non affecté N/A N/A

Note importante pour Exchange 2013 : cette version est hors support depuis avril 2023. Elle ne recevra aucun correctif ni mesure d'atténuation pour CVE-2026-42897. Si vous utilisez encore Exchange 2013, votre infrastructure est en danger immédiat et une migration urgente s'impose.

Plan d'action immédiat : 6 étapes pour protéger votre messagerie

Voici les actions concrètes à engager, dans l'ordre de priorité, pour réduire le risque lié à CVE-2026-42897.

  1. Vérifiez la version d'Exchange utilisée. Demandez à votre responsable informatique ou à votre prestataire IT de confirmer la version exacte de votre serveur. Si vous ignorez si votre messagerie est hébergée en interne ou dans le cloud, c'est le moment de clarifier ce point.
  2. Activez le service Exchange Emergency Mitigation Service (EEMS). Ce service Microsoft, actif par défaut sur les serveurs récents, applique automatiquement des protections temporaires. Microsoft a déjà déployé la mitigation M.2.1.0 pour CVE-2026-42897 via ce canal. Si l'EEMS a été désactivé manuellement, votre prestataire doit le réactiver en priorité.
  3. Vérifiez que la mitigation est fonctionnelle. Via l'outil Exchange Health Checker, assurez-vous que la mitigation M.2.1.0 est à l'état « Applied ». Si un message indique « Mitigation invalid for this exchange version », pas d'inquiétude : Microsoft a confirmé qu'il s'agit d'un bug d'affichage. Si le statut affiche « Applied », la protection est active.
  4. Sensibilisez vos équipes à l'usage d'OWA. Dans l'immédiat, sensibilisez vos collaborateurs : en cas de doute sur la provenance d'un email, ils doivent utiliser l'application de bureau Outlook plutôt que l'interface webmail (OWA).
  5. Planifiez le correctif définitif. Dès la publication du patch permanent par Microsoft, planifiez son application hors des heures de production. Configurez une alerte sur le portail Microsoft MSRC (Microsoft Security Update Guide).
  6. Migrez sans attendre les versions obsolètes. Cette faille met en lumière le danger de conserver Exchange 2013 ou des versions sans contrat ESU. Contactez notre équipe pour planifier une transition sécurisée vers Exchange SE ou Exchange Online.

Effets secondaires connus de la mitigation temporaire

Microsoft signale que l'application de la protection automatique M.2.1.0 peut entraîner quelques perturbations mineures dans OWA :

  • L'impression du calendrier depuis l'interface web peut dysfonctionner (alternative : utiliser Outlook Bureau).
  • Les images intégrées dans le corps du message peuvent ne pas s'afficher (alternative : basculer sur l'application de bureau ou demander l'envoi en pièce jointe).
  • L'affichage OWA en mode léger (URL terminant par /?layout=light) peut s'interrompre.

Ce que cette faille révèle sur la gestion des correctifs en PME

CVE-2026-42897 illustre un problème structurel fréquent en entreprise : la gestion des correctifs (ou patch management) y est trop souvent réactive (appliquée après un incident ou une fois par an) plutôt que proactive. Face aux menaces modernes, cette approche met l'entreprise en péril.

Pourquoi le délai avant exploitation est devenu critique

Le temps où les attaquants mettaient des semaines à concevoir un exploit après la découverte d'une faille est révolu. Pour la CVE-2026-42897, les vagues d'attaques étaient simultanées à l'alerte. Chaque heure passée sans appliquer de mesures de contournement ou de patch est une fenêtre ouverte pour les pirates.

Une politique de gestion des mises à jour de sécurité rigoureuse doit prévoir :

  • Une veille active des bulletins de sécurité éditeurs (notamment le MSRC de Microsoft)
  • Le suivi en temps réel des alertes du CERT-FR
  • Un délai de déploiement des patchs critiques sous 48 à 72 heures au maximum
  • Un inventaire automatisé du parc logiciel

Le lien avec NIS2 et la conformité réglementaire

La directive européenne NIS2, en cours de transposition en droit français, impose des obligations strictes en matière de gestion des vulnérabilités. Ignorer sciemment une faille critique activement exploitée alors qu'un mécanisme d'atténuation officielle existe expose l'entreprise à de lourdes sanctions pour manquement à ses obligations de sécurité. Notre article dédié aux obligations NIS2 fait le point sur le sujet.

Faut-il migrer vers Exchange Online maintenant ?

La question se pose légitimement à chaque nouvelle alerte sur les infrastructures on-premises. S'il n'y a pas de réponse universelle, force est de constater que les arguments en faveur du Cloud se renforcent.

Critère Exchange Server on-premises Exchange Online (Microsoft 365)
Gestion des correctifs À votre charge (interne ou prestataire) Entièrement automatisée par Microsoft
Exposition à la CVE-2026-42897 Oui (si non mitigé) Non (protégé nativement)
Contrôle des données Total (souveraineté physique du serveur) Partiel (dépend de la configuration)
Coûts récurrents Maintenance infrastructure, licences, infogérance Abonnement mensuel par utilisateur, prévisible
Conformité RGPD Maîtrisée si hébergé en France ou UE Conforme selon les régions de tenant sélectionnées
Disponibilité / Résilience Liée à la redondance de vos locaux Garantie par le SLA Microsoft (99,9 %)

Pour les PME n'ayant pas d'équipe dédiée à la cybersécurité au quotidien, externaliser la messagerie sur Exchange Online supprime le fardeau des failles serveurs critiques, Microsoft colmatant les brèches en amont de leur publication.

Résumé : les points essentiels à retenir

  • CVE-2026-42897 est une faille critique (CVSS 8.1) visant Exchange Server, exploitée depuis le 14 mai 2026.
  • Elle cible exclusivement les serveurs déployés en interne (on-premises) et n'impacte pas Microsoft 365.
  • Un pirate peut pirater une session OWA par le simple affichage d'un email malveillant dans le navigateur.
  • Aucun correctif final n'est disponible à ce jour : il faut s'appuyer sur la mitigation temporaire de l'EEMS.
  • Le CERT-FR a émis l'alerte officielle CERTFR-2026-AVI-0599 demandant une réaction immédiate.
  • La priorité absolue : s'assurer que la protection temporaire M.2.1.0 est bien marquée « Applied » sur vos serveurs.

Votre serveur Exchange est-il protégé ? CORE SECURITY peut vous aider

Core Security accompagne les TPE, PME et ETI françaises dans la sécurisation de leurs infrastructures critiques. Face à une menace immédiate comme la CVE-2026-42897, l'improvisation n'a pas sa place.

Nos experts certifiés ISO 27001 et ISO 27005 interviennent en urgence pour :

  • Vérifier l'intégrité de vos serveurs de messagerie et valider l'application des mitigations
  • Analyser vos logs OWA pour détecter d'éventuelles traces d'exploitation antérieures
  • Construire votre politique globale de Patch Management et de gestion des vulnérabilités
  • Piloter votre projet de migration vers Exchange SE ou Microsoft 365 en toute sécurité

Ne laissez pas une faille de messagerie paralyser votre entreprise. Contactez les experts de Core Security dès présent pour un audit express de vos serveurs Exchange.

FAQ - CVE-2026-42897 Microsoft Exchange Server Spoofing Vulnerability

L'application lourde Outlook (Desktop) n'exécute pas le vecteur d'attaque XSS de cette faille, qui cible exclusivement l'interface web Outlook Web Access (OWA). Cependant, si votre serveur Exchange sous-jacent est vulnérable, le risque global pour l'entreprise demeure. La mise en place de la mitigation reste obligatoire.

Votre administrateur informatique peut lancer la commande dans l'Exchange Management Shell ou exécuter le script officiel de Microsoft. Si vous n'avez pas d'expert s&ystème en interne, nos équipes peuvent réaliser ce diagnostic à distance.

La mitigation M.2.1.0 modifie le comportement d'OWA pour neutraliser le script malveillant. C'est une excellente barrière défensive validée par le CERT-FR, mais elle ne dispense pas d'installer le correctif de sécurité définitif dès sa sortie d'usine par Microsoft.

Microsoft publiera le correctif officiel pour Exchange 2016 CU23 et Exchange 2019 uniquement pour les organisations disposant de licences Extended Security Updates (ESU). Sans cette couverture payante, vous resterez techniquement bloqué avec la mitigation temporaire. C'est un signal fort pour planifier une migration.

Les attaquants n'attaquent pas votre PME au hasard : ils utilisent des scanners réseau automatisés (comme Shodan ou Project Discovery) qui détectent en continu les serveurs Exchange exposés sur internet et listent leur version d'OWA. Dès qu'un serveur non protégé est identifié, l'envoi de l'email piégé est automatisé.

Un pirate accédant à une session OWA peut lire l'intégralité de la boîte mail compromise (y compris les pièces jointes RH, comptables, secrets industriels). Il peut ensuite envoyer des emails légitimes en interne pour pousser de fausses factures (fraude au virement) ou déployer un ransomware sur le réseau de l'entreprise via du phishing interne ultra-crédible.

Tout dépend de la nature de l'hébergement. S'il s'agit d'un cloud privé dédié (votre propre machine virtuelle Exchange), contactez immédiatement votre hébergeur pour exiger la preuve que la mitigation M.2.1.0 est appliquée. S'il s'agit d'une offre mutualisée ou d'Exchange Online (Office 365), la plateforme est gérée de manière globale et est déjà hors de cause.

Description

CVE-2026-42897 : faille critique Exchange Server exploitée activement. Score CVSS 8.1, XSS via OWA. Ce que les PME doivent faire maintenant pour se protéger.

⏱ Temps de lecture estimé : ~12 minutes

Catégories

  1. Actualités
  2. Cybersécurité
  3. Informatique