Microsoft Office, des failles critiques qui menacent aussi bien les PC que les Mac
Cyrille Jeunehomme — 17 août, 2025
Imaginez une attaque qui démarre sans clic, sans ouverture de fichier, juste en survolant un document. Bienvenue dans le cauchemar discret de Microsoft Office. Trois failles critiques détectées cet été transforment un simple aperçu de fichier en porte d’entrée pour les hackers. Et non, cela ne concerne pas que les PC.
Même les utilisateurs de macOS, souvent plus sereins côté sécurité, sont concernés. Et ce qui rend l’affaire encore plus préoccupante, c’est que ces vulnérabilités s’activent dans des versions d’Office utilisées partout, de la maison à l’entreprise.
Le simple affichage d’un document peut lancer une attaque en silence
Deux des failles découvertes — CVE-2025-53731 et CVE-2025-53740 — permettent l’exécution de code malveillant dès la prévisualisation d’un document. Sans action de l’utilisateur. Pas besoin d’ouvrir le fichier, ni même de cliquer dessus.
Ces vulnérabilités viennent d’un problème de mémoire appelé « use-after-free ». Résultat : une faille active dès qu’un document s’affiche dans un volet de prévisualisation, qu’il s’agisse d’Outlook ou de l’explorateur Windows. Oui, même le simple fait de recevoir un mail peut vous mettre en danger.
Et côté versions touchées, c’est un vrai défilé : Office 2016, 2019, LTSC 2021, LTSC 2024, Microsoft 365 Apps, sur Windows comme sur macOS, en 32 ou 64 bits. Des millions de postes sont concernés, y compris les Macs professionnels.
Pourquoi vous devez appliquer les mises à jour sans attendre ?
Depuis le 12 août, Microsoft a déployé les correctifs nécessaires. Pour Office 2016, il s’agit de la mise à jour KB5002756. Pour les versions plus récentes, les patchs arrivent via Click-to-Run. Microsoft insiste : il faut vérifier manuellement que la mise à jour est bien installée. Rien n’est automatique à 100 %.
Et si la mise à jour immédiate est impossible ? Alors, les experts recommandent de désactiver le volet de prévisualisation et de limiter l’ouverture de documents provenant de sources inconnues. L’attaque ne nécessite pas d’action humaine, alors autant fermer la porte avant qu’elle ne claque.
Voici un tableau récapitulatif des versions concernées et des actions à entreprendre :
| Version Office | Systèmes impactés | Action recommandée |
|---|---|---|
| Office 2016 | Windows, Mac | Mise à jour KB5002756 |
| Office 2019 | Windows, Mac | Click-to-Run |
| LTSC 2021 & 2024 | Windows, Mac | Click-to-Run |
| Microsoft 365 Apps | Windows, Mac | Vérification de la mise à jour |
Des milliards de machines concernées, même sur Mac
StatCounter estime que Windows équipe environ 71 % des ordinateurs de bureau, contre 13 % pour macOS. Cela représente potentiellement plus de 1,6 milliard de machines vulnérables à ces attaques furtives.
Même les utilisateurs macOS ne sont pas à l’abri. Les versions LTSC 2021 et 2024 pour Mac sont dans la ligne de mire. Et avec des fonctionnalités de prévisualisation activées par défaut, l’attaque peut être aussi rapide qu’un clin d’œil.
Les hackers n’ont plus besoin de ruser, il leur suffit d’envoyer un document piégé pour compromettre un système. Le champ d’action est mondial, silencieux, et efficace.
Hygiène numérique & gestes quotidiens
Installer des routines simples pour protéger ses usages
La cybersécurité n’est pas qu’une affaire de technologies : elle repose aussi sur des habitudes quotidiennes. Beaucoup d’incidents naissent de gestes anodins, comme l’ouverture d’une pièce jointe douteuse ou l’utilisation d’un ancien mot de passe. Mettre en place une hygiène numérique solide améliore immédiatement la sécurité globale.
Les bonnes pratiques incluent : vérifier l’origine des messages, refuser les sites douteux, sécuriser ses appareils mobiles, organiser ses documents, verrouiller son poste dès qu’on s’éloigne, et privilégier les outils officiels de l’entreprise.
Protéger ses données et éviter les pratiques à risque
Certaines routines doivent devenir automatiques : mettre à jour les logiciels, gérer proprement les fichiers sensibles, trier les téléchargements, désinstaller les programmes inutiles et éviter les réseaux Wi-Fi publics pour les actions professionnelles.
Une attention particulière doit être portée aux liens et aux formulaires suspects, souvent utilisés pour récupérer des identifiants ou infecter un poste.
Sensibiliser régulièrement pour entretenir les bons réflexes
Les comportements évoluent au fil du temps : c’est pourquoi la sensibilisation continue est indispensable. Ateliers pratiques, simulations de faux e-mails, mini-formations ou rappels mensuels permettent d’entretenir une vigilance naturelle.
L’objectif n’est pas de rendre chaque collaborateur expert, mais d’instaurer un état d’esprit collectif où chacun adopte des gestes numériques sûrs. Ces habitudes, répétées au quotidien, forment une première ligne de défense extrêmement efficace.
FAQ — Risques et menaces
Quels sont les risques de cyberattaques pour une entreprise ?
Phishing, ransomwares, virus ou vol d’accès font partie des menaces les plus courantes.
Comment reconnaître une tentative de phishing ?
Des e-mails suspects, des liens inconnus ou des demandes urgentes sont des signes typiques.
Comment limiter les risques cyber ?
En adoptant une stratégie de sécurité complète et en sensibilisant les équipes.