Microsoft a publié en urgence un nouveau correctif de sécurité pour patcher une nouvelle faille de sécurité zero-day découverte dans la suite Microsoft Office. La raison : cette vulnérabilité (CVE-2026-21509) est exploitée par les cybercriminels. Faisons le point.

Il est assez inhabituel que Microsoft publie un correctif de sécurité pour la suite Office en dehors de ceux diffusés dans le cadre du Patch Tuesday. Pourtant, une nouvelle faille a été référencée le 26 janvier 2026 sur le portail MSRC de la firme de Redmond.

Cette faille de sécurité, associée à la référence CVE-2026-21509 et à un score CVSS de 7.8 sur 10, permet de contourner une fonctionnalité de sécurité d’Office.

“Cette mise à jour corrige une vulnérabilité qui contourne les mesures d’atténuation OLE dans Microsoft 365 et Microsoft Office qui protègent les utilisateurs contre les contrôles COM/OLE vulnérables.“, précise Microsoft.

Voici plusieurs précisions importantes au sujet de cette vulnérabilité :

• L’exploitation s’effectue en local sur la machine Windows,
• Le panneau de prévisualisation n’est pas un vecteur d’attaque,
• L’attaquant doit convaincre la victime d’ouvrir un fichier malveillant avec une application de la suite Office.

Sur son site, Microsoft précise que cette vulnérabilité est déjà exploitée par les cybercriminels, bien qu’aucune précision ne soit apportée à ce sujet. De son côté, l’agence CISA a ajouté cette menace à son catalogue des vulnérabilités connues et exploitées (KEV).

Comment se protéger de la CVE-2026-21509 ?

Tout d’abord, il convient de préciser que cette vulnérabilité affecte de nombreuses versions : Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, ainsi que Microsoft 365 Apps (version liée aux abonnements Microsoft 365).

Pour se protéger, tout le monde n’est pas traité de la même façon : certains devront installer un correctif de sécurité, d’autres non. Je m’explique.

“Les clients utilisant Office 2021 et versions ultérieures seront automatiquement protégés grâce à une modification côté service, mais devront redémarrer leurs applications Office pour que celle-ci prenne effet.“, peut-on lire. Comprenez que vous n’avez rien à faire, si ce n’est relancer les applications.

Pour ceux qui utilisent encore Office 2016 ou Office 2019, il est indispensable d’installer le correctif de sécurité ou d’effectuer la modification dans le Registre préconisée par Microsoft. À savoir :

1. Fermer les applications de la suite Microsoft Office.

2. Ouvrez l’Éditeur de Registre sur Windows (touches Win + R > regedit).

3. Accédez à l’un de ces emplacements (il dépend de la version et du type d’installation)

Microsoft précise que la clé n’existe pas par défaut, donc vous devez la créer pour compléter le chemin.

4. Ajoutez une sous-clé nommée sous . Effectuez un clic droit sur l’entrée parente pour créer la sous-clé.

5. Une fois que vous avez créé la clé , effectuez un clic droit dessus, puis sélectionnez : Nouveau > Valeur DWORD (32 bits). Nommez la valeur comme suit : .

6. La valeur doit avoir une valeur hexadécimale de .

7. Fermez l’éditeur de Registre et vous pouvez de nouveau utiliser les applications Office.

Note : gardez à l’esprit qu’il est préférable de sauvegarder le Registre avant de le modifier, en particulier si vous n’êtes pas à l’aise avec ce type de modification.

Si vous préférez installer le correctif de sécurité, voici la liste :

• Microsoft Office 2016 (KB5002713)
• Microsoft Office 2019 (non disponible pour le moment)

Je vous invite à consulter cette page du site MSRC de Microsoft pour vérifier la disponibilité du correctif de sécurité pour Office 2019.

Image d’illustration générée par IA.