IT & Tech 07.05.2026

La porte ouverte du Microsoft Stack de la banque des PME

5 min de lecture

Une vulnérabilité critique dans le composant .NET le plus utilisé permet aux attaquants une élévation de privilèges sans connexion. Les correctifs existent depuis longtemps, mais les entreprises du secteur intermédiaire hébergées chez un fournisseur externe ou un éditeur de logiciels indépendant (ISV) n’ont souvent aucun contrôle sur la mise à jour.

Les points clés en bref

  • Exploitation à distance sans authentification : CVE-2026-40372 n’est pas une vulnérabilité locale, mais réseau. Toute personne utilisant ASP.NET Core dans un portail client, une API partenaire ou une application B2B accessible publiquement est exposée à un risque direct, pas seulement à un risque d’inventaire.
  • Le secteur intermédiaire concerne plus de piles technologiques qu’on ne le pense : Les logiciels métiers, les interfaces de comptabilité, les applications de suivi logistique et les portails de service tournent dans de nombreuses entreprises sous .NET 6, 7 ou 8. Souvent hébergés chez un prestataire qui ne suit pas automatiquement l’état des correctifs.
  • Le correctif est disponible, mais sa diffusion pose problème : Microsoft fournit des mises à jour pour .NET 6 LTS, .NET 7 (plus supporté depuis mai 2024) et .NET 8 LTS. Les utilisateurs encore sous .NET 7 ne reçoivent officiellement aucun correctif — c’est la situation la plus délicate pour les entreprises du secteur intermédiaire.

En lien :Portefeuille EUDI après le lancement pilote en 2026  /  Dépenses IA selon Gartner en 2026

Ce que permet concrètement la vulnérabilité

Qu’est-ce que CVE-2026-40372 ? CVE-2026-40372 est une vulnérabilité critique d’ASP.NET Core, dans laquelle la vérification des signatures cryptographiques est insuffisamment implémentée. Un attaquant peut envoyer des requêtes falsifiées avec des signatures contrefaites ou contournées, et ainsi élever ses privilèges — sans s’être authentifié au préalable. Microsoft évalue cette faille avec un score CVSS de 9,1, soit un niveau critique. Elle a été publiée le 21.04.2026 dans la NVD et affecte toutes les versions actuellement supportées de .NET.

Le composant exact se situe au niveau de la couche d’authentification et de vérification des jetons. Les applications utilisant des jetons JWT, des cookies signés ou des flux OAuth sont les cibles évidentes. En pratique, cela concerne presque toutes les applications ASP.NET Core avec système de connexion. L’attaque peut être menée depuis Internet dès lors que le point d’accès (endpoint) est accessible.

CVSS 9,1
Évaluation officielle de Microsoft pour CVE-2026-40372 — catégorie critique, exploitable sans authentification via le réseau.
CHIFFRES CLÉS
62 pour cent
en gouvernance de l’IA
04.202
6 CVE-2026-40372 classifiées comme critiques : une faille de vérification de signature

Pourquoi les PME sont plus touchées que ne le montre la statistique

Les statistiques du marché cloud indiquent qu’ASP.NET représente une part moindre comparé à Java ou Node. En revanche, la réalité dans les PME de la région DACH est différente. Trois configurations sont fréquemment rencontrées.

Premièrement : les logiciels métiers basés sur .NET. De nombreuses solutions destinées à l’artisanat, à la logistique, à la santé ou à la construction mécanique ont été développées sur une architecture Windows et se sont dotées d’une interface web avec ASP.NET Core. Souvent, un prestataire informatique ou un revendeur héberge l’application. Celui qui ne vérifie pas activement l’état des correctifs risque de ne pas appliquer la mise à jour avant la prochaine fenêtre de maintenance.

Deuxièmement : les portails clients développés en interne. La plupart des portails destinés aux commandes, au suivi de statut ou à la gestion des tickets de service sont créés avec .NET 6 ou 8, car les compétences .NET sont déjà présentes en interne. Ces développements internes sont rarement mis à jour de manière centralisée, contrairement aux logiciels standards achetés. En l’absence d’un responsable clairement désigné pour les mises à jour du framework, cette situation constitue une faille ouverte.

Troisièmement : les systèmes hérités sur .NET 7. Microsoft a mis fin au support de .NET 7 en mai 2024. Les utilisateurs encore sur cette version ne recevront officiellement aucun correctif pour CVE-2026-40372. La réalité dans de nombreuses entreprises : la migration vers .NET 8 a été reportée en raison d’autres priorités. Ces environnements nécessitent désormais une décision délibérée – migrer ou mettre en place des mesures compensatoires telles qu’un pare-feu applicatif (WAF) doté de règles de validation des signatures.

« Microsoft a classé CVE-2026-40372 comme critique le 21.04.2026 : une erreur de vérification de signature dans ASP.NET Core permet à des attaquants non authentifiés d’obtenir une élévation de privilèges via le réseau. »

Trois étapes à accomplir dans les 14 prochains jours

Premièrement : l’inventaire. Identifier toutes les applications utilisant ASP.NET Core. Contacter les prestataires informatiques pour connaître la version .NET en production et vérifier si la mise à jour corrigeant CVE-2026-40372 a été appliquée. Pour les hébergements internes, utiliser la commande dotnet –version sur le serveur.

Deuxièmement : déploiement des correctifs selon un ordre de priorité. Commencer par les applications exposées au public, c’est-à-dire toutes celles accessibles depuis l’extérieur via une connexion. Puis procéder aux applications internes. Pour les environnements encore sur .NET 7, élaborer un plan d’atténuation : lancer la migration vers .NET 8 ou, en attendant, activer une règle WAF.

Troisièmement : vérification des journaux. Examiner les applications pour s’assurer qu’elles enregistrent bien les anomalies d’authentification. Si un attaquant tente de contourner la vérification du jeton, cet événement doit apparaître dans les journaux applicatifs. De nombreuses applications de PME enregistrent les connexions réussies, mais pas les tentatives de vérification échouées – or, c’est précisément cette télémétrie qui fait défaut aujourd’hui.

Foire aux questions

Quelles versions de .NET sont concernées par CVE-2026-40372 ?

Les versions concernées sont ASP.NET Core 6.0, 7.0 et 8.0. Microsoft a publié des correctifs pour les versions LTS 6 et 8. .NET 7 n’est plus pris en charge depuis mai 2024, aucun correctif officiel n’est donc disponible. Les utilisateurs encore sur .NET 7 doivent migrer ou mettre en place des mesures compensatoires.

Avons-nous besoin du correctif si notre application n’est accessible que depuis l’interne ?

Oui, mais avec une priorité moindre. Les applications internes restent accessibles à un attaquant ayant obtenu une emprise sur le réseau. CVE-2026-40372 étant une vulnérabilité basée sur le réseau, elle inclut également les réseaux internes. Priorité aux applications exposées au public, puis aux applications internes, mais les deux doivent être corrigées dans un délai de deux semaines.

Une Web Application Firewall (WAF) suffit-elle comme mesure temporaire ?

Uniquement comme mesure transitoire. Une WAF dotée de règles détectant les anomalies de validation de signature peut identifier l’attaque si celle-ci est visible dans les en-têtes ou dans le corps de la requête. En revanche, elle ne sera pas efficace contre des chemins de vérification plus profonds intégrés à la logique applicative. Le correctif reste la solution la plus sûre.

Que faire si un prestataire informatique ne réagit pas ?

Envoyez une demande écrite avec une date précise pour l’application du correctif. Pour les applications critiques, définissez un canal d’escalade vers la direction du prestataire. Vérifiez votre contrat : existe-t-il une clause SLA prévoyant un délai pour les correctifs de sécurité ? La plupart des contrats standards prévoient un délai de 7 à 30 jours pour les vulnérabilités critiques.

Quels indicateurs signalent une attaque active ?

Des journaux d’authentification inhabituels : de nombreuses réponses 401 suivies d’une réponse 200 sur le même endpoint. Des jetons (tokens) qui semblent corrects structurellement, mais provenant d’émetteurs inconnus. Des requêtes avec une durée de vie anormalement courte du jeton. Si vous disposez d’un SIEM ou d’un outil d’agrégation de logs, créez une règle d’alerte basée sur ces motifs, et non sur des événements isolés.

Plus d’informations depuis le réseau MBF Media

Source image titre : Pexels / Pixabay

Aussi disponible en

Un magazine de evernine media GmbH