Imaginez que le vigile de votre entreprise, celui censé vous protéger 24h/24, se retourne soudainement contre vous et ouvre la porte aux cambrioleurs. C’est exactement ce qui se passe avec Windows Defender, l’antivirus intégré à chaque PC Windows. En l’espace de 13 jours, un chercheur en cybersécurité frustré a publié trois exploits zero-day qui transforment littéralement votre protection en arme d’attaque. Plus d’un milliard d’appareils sont concernés.

Un chercheur en colère déclenche la tempête

Le 2 avril 2026, un chercheur en sécurité opérant sous le pseudonyme « Chaotic Eclipse » publie un message lapidaire sur son blog : « I was not bluffing Microsoft, and I’m doing it again. » Sous ce message, un lien vers un dépôt GitHub contenant BlueHammer, un exploit fonctionnel permettant de prendre le contrôle total d’un PC Windows — sans être administrateur.

L’histoire derrière cette publication est révélatrice des tensions entre les chercheurs en sécurité et les géants de la tech. Selon les rapports, le chercheur avait d’abord signalé la faille de manière responsable à Microsoft, via leur programme officiel MSRC (Microsoft Security Response Center). Mais la communication aurait dégénéré : Microsoft aurait rejeté le rapport après que le chercheur a refusé de fournir une démonstration vidéo obligatoire. Excédé, il a tout publié en accès libre.

« Contrairement aux fois précédentes, je n’explique pas comment ça marche ; vous êtes des génies, débrouillez-vous. Et merci à la direction du MSRC d’avoir rendu tout cela possible. » — Chaotic Eclipse

Will Dormann, analyste principal chez Tharros — une référence dans le domaine — a rapidement confirmé que l’exploit fonctionnait, même sur les versions les plus récentes de Windows 10, Windows 11 et Windows Server.

Comment Windows Defender devient votre pire ennemi

La faille BlueHammer, identifiée sous le code CVE-2026-33825 avec un score de gravité CVSS de 7.8 sur 10, exploite un défaut de conception dans le processus de mise à jour des signatures de Windows Defender. Techniquement, l’attaque enchaîne plusieurs fonctionnalités légitimes de Windows pour aboutir à un résultat dévastateur :

  • L’attaquant force Defender à créer une copie instantanée du système (Volume Shadow Copy)
  • Il met Defender en pause au moment précis où l’antivirus accède à certains fichiers critiques
  • Il récupère la base SAM, le fichier qui stocke tous les mots de passe locaux de la machine
  • En moins d’une minute, un simple utilisateur obtient les privilèges NT AUTHORITY\SYSTEM — le niveau d’accès le plus élevé sur Windows

L’équipe Howler Cell de Cyderes a corrigé les bugs présents dans le code publié et réalisé une démonstration complète : un shell utilisateur basique est passé à SYSTEM en moins de 60 secondes, sans exploit kernel et sans droits administrateur au départ.

Mais le cauchemar ne s’est pas arrêté là. Le 15 avril, le même chercheur a publié « RedSun », un second exploit ciblant une autre faille de Windows Defender — celle-ci toujours non corrigée. RedSun abuse de la façon dont Defender gère les fichiers marqués dans le cloud : l’antivirus réécrit un fichier malveillant à son emplacement d’origine, permettant à l’attaquant de remplacer des fichiers système critiques. Entre les deux, un troisième exploit baptisé « UnDefend » a également été publié, celui-ci dégradant progressivement les protections de Defender.

« Quand Windows Defender réalise qu’un fichier a un tag cloud, pour une raison stupide et hilarante, l’antivirus censé protéger décide de réécrire le fichier à son emplacement d’origine. » — Chaotic Eclipse, à propos de RedSun

Le Patch Tuesday record : 167 failles corrigées, mais RedSun reste ouverte

Le 14 avril 2026, Microsoft a publié son Patch Tuesday d’avril, le deuxième plus important de l’histoire avec 167 vulnérabilités corrigées (dont 8 critiques). Parmi elles, le correctif pour BlueHammer (CVE-2026-33825) et un zero-day SharePoint déjà activement exploité (CVE-2026-32201). Pour BlueHammer, la mise à jour se déploie automatiquement via le mécanisme de mise à jour de Defender — bonne nouvelle pour ceux qui n’ont rien désactivé.

Mais voici le problème : RedSun reste non corrigé. Heise Security et Will Dormann ont confirmé que l’exploit fonctionne sur des systèmes Windows 10 et 11 fraîchement patchés avec les mises à jour d’avril. Concrètement, même si vous avez appliqué toutes les mises à jour disponibles, une faille permettant de prendre le contrôle total de votre machine reste ouverte.

Pour les PME, le risque est très concret : un employé qui clique sur un lien de phishing, une extension de navigateur compromise ou même un simple accès physique à un poste peut suffire. L’attaquant obtient un accès limité, puis utilise ces exploits pour prendre le contrôle total du système. Les groupes de ransomware intègrent habituellement ce type d’exploit dans leurs outils en quelques jours.

Ce que les PME doivent faire maintenant

La situation est sérieuse, mais pas désespérée. Voici les actions concrètes à prendre immédiatement :

1. Vérifiez vos mises à jour Windows Defender. Le correctif pour BlueHammer se déploie automatiquement, mais uniquement si les mises à jour de Defender ne sont pas bloquées. Allez dans Sécurité Windows → Protection contre les virus → Mises à jour de protection et vérifiez que la version de la plateforme est postérieure au 14 avril 2026.

2. Appliquez le Patch Tuesday d’avril sans délai. Les 167 correctifs ne sont pas un luxe. La faille SharePoint est activement exploitée et Adobe Reader a aussi reçu un patch d’urgence pour une faille utilisée depuis novembre 2025.

3. Ne comptez pas sur Defender seul. C’est la leçon principale de cette affaire. Un antivirus unique, même celui de Microsoft, ne suffit plus. Envisagez une solution EDR (Endpoint Detection and Response) complémentaire qui ajoutera une couche de détection comportementale.

4. Limitez les privilèges utilisateurs. Si vos employés travaillent avec des comptes administrateurs, c’est le moment d’arrêter. Le principe du moindre privilège ralentit considérablement les attaquants même en cas d’exploitation réussie.

5. Surveillez les prochains correctifs Microsoft. RedSun n’est pas encore corrigé. Activez les mises à jour automatiques et restez attentifs aux bulletins de sécurité hors cycle (out-of-band patches).

À retenir

  • BlueHammer et RedSun sont deux exploits zero-day qui transforment Windows Defender en outil d’escalade de privilèges, affectant potentiellement plus d’un milliard d’appareils Windows
  • Un chercheur frustré par la gestion de Microsoft a publié les exploits en accès libre sur GitHub, sans coordination — relançant le débat sur la divulgation responsable des failles
  • BlueHammer (CVE-2026-33825, score 7.8) est corrigé depuis le Patch Tuesday du 14 avril — vérifiez que vos mises à jour Defender sont bien installées
  • RedSun reste non corrigé à ce jour et fonctionne sur des systèmes entièrement mis à jour
  • Les PME doivent impérativement ne pas se reposer sur un seul antivirus, appliquer les mises à jour sans délai et restreindre les privilèges des comptes utilisateurs
  • Avec 167 vulnérabilités corrigées en un mois, le rythme des failles s’accélère : la cybersécurité n’est plus une option, c’est une hygiène quotidienne

Photo : Lucas Andrade via Pexels