Vulnérabilités et Alertes

Patch Tuesday d’octobre 2025 : 172 failles corrigées, 6 zero-day, fin de Windows 10

by  • 

Microsoft a publié, à l’occasion du Patch Tuesday du 14 octobre 2025, des correctifs pour 172 vulnérabilités touchant Windows et d’autres produits Microsoft, dont 6 failles de type zero-day (c’est-à-dire déjà divulguées ou exploitées avant la publication du correctif). Ce lot comprend également 8 vulnérabilités critiques (5 permettant l’exécution de code à distance et 3 l’élévation de privilèges)  . Ce Patch Tuesday est le dernier qui fournit des mises à jour de sécurité gratuites pour Windows 10 grand public, lequel atteint sa fin de support ce mois-ci  .

La répartition par type de vulnérabilité se décompose ainsi :  

  • 80 failles d’élévation de privilèges (EoP)
  • 11 failles de contournement de fonctions de sécurité
  • 31 failles d’exécution de code à distance (RCE)
  • 28 failles de divulgation d’informations
  • 11 failles de déni de service (DoS)
  • 10 failles d’usurpation (spoofing)

NB : Ce décompte n’inclut pas les failles corrigées plus tôt en octobre dans des produits comme Azure, Microsoft Edge ou Linux Mariner.  

Microsoft indique que sur les 6 failles zero-day corrigées ce mois-ci, 3 avaient été publiquement révélées avant le patch, et 3 étaient activement exploitées dans des attaques . Ci-dessous un tour d’horizon de ces failles critiques désormais colmatées :

Failles zero-day corrigées en octobre 2025

  • Pilote de modem Agere (CVE-2025-24990 & CVE-2025-24052) – Deux vulnérabilités d’élévation de privilèges affectant un ancien pilote de fax/modem (Agere) livré par défaut avec Windows. L’une des failles était exploitée activement dans la nature (CVE-2025-24990)  , tandis que l’autre avait fait l’objet d’une divulgation publique sans exploitation connue (CVE-2025-24052) . Microsoft a supprimé purement et simplement ce pilote vulnérable de Windows dans le patch, ce qui désactivera les équipements de fax/modem l’utilisant  . En d’autres termes, le correctif élimine le risque au prix de l’arrêt du support de ces modems (une mesure attribuée aux chercheurs Fabian Mosch et Jordan Jay qui ont signalé le problème)    .
  • Windows Remote Access Connection Manager (CVE-2025-59230) – Une vulnérabilité d’élévation de privilèges dans le service Windows Remote Access Connection Manager (RasMan) qui a été activement exploitée pour obtenir des privilèges SYSTÈME sur les machines victimes  . Aucune interaction utilisateur n’est requise, ce qui en fait une faille particulièrement utile pour les attaquants souhaitant étendre leurs privilèges après une première intrusion . Microsoft a attribué la découverte de cette attaque à ses équipes internes (MSTIC/MSRC)   et fournit des correctifs pour toutes les versions prises en charge de Windows.
  • Secure Boot – IGEL OS (CVE-2025-47827) – Une vulnérabilité permettant de contourner le Secure Boot UEFI via IGEL OS, un système Linux pour clients légers connecté à des environnements Windows. En exploitant une vérification cryptographique laxiste, un attaquant pouvait charger un système malveillant non signé au démarrage, contournant ainsi la confiance du Secure Boot  . La faille a été observée exploitée dans la nature . Microsoft a déployé un correctif pour intégrer une contre-mesure dans Windows – vraisemblablement en ajoutant le chargeur compromis à la liste de révocation UEFI, afin d’empêcher son exécution sur les systèmes protégés .
  • Processeurs AMD EPYC / SEV-SNP (CVE-2025-0033) – Une vulnérabilité liée aux processeurs serveurs AMD EPYC (fonctionnalité Secure Encrypted Virtualization – Secure Nested Paging) divulguée par AMD, qui pourrait permettre à un hyperviseur malveillant de corrompre les entrées de table de mappage inverse (RMP) lors de l’initialisation, compromettant l’intégrité mémoire des machines virtuelles protégées  . Ce défaut, s’il n’expose pas de données en clair, brise toutefois l’isolation garantie par SEV-SNP. Microsoft le traite comme un zero-day, mais n’a pas encore de correctif disponible côté Windows pour cette issue : les correctifs pour les machines virtuelles confidentielles Azure concernées sont en cours de développement au moment de la publication   . Les chercheurs Benedict Schlueter, Supraja Sridhara et Shweta Shinde (ETH Zurich) sont crédités pour cette découverte  .
  • Implémentation TPM 2.0 (CVE-2025-2884) – Une faille de lecture hors limites dans l’implémentation de référence du module de sécurité TPM 2.0 (issue du consortium Trusted Computing Group), pouvant mener à une fuite d’informations sensibles ou un déni de service au niveau du TPM  . Microsoft, membre du TCG, la considère néanmoins comme un zero-day et a fourni des correctifs pour Windows 11 et les éditions Windows Server récentes . En revanche, Windows 10 et Server 2019 n’ont pas reçu de mise à jour pour ce problème, illustrant l’incitation de Microsoft à migrer vers des OS plus récents pour continuer à être protégés .

Autres correctifs critiques et fin de support

Outre les zero-days ci-dessus, plusieurs vulnérabilités critiques méritent l’attention des administrateurs ce mois-ci :

  • Bugs d’exécution de code dans Microsoft Office (CVE-2025-59227 & -59234) – Deux failles RCE dans Microsoft Office permettant l’exécution de code via le volet de prévisualisation des documents (par exemple, l’aperçu d’une pièce jointe malveillante dans un email), sans même que la cible n’ouvre explicitement le fichier  . Un attaquant pourrait ainsi piéger un utilisateur par un simple email et compromettre sa machine. Il est recommandé d’appliquer rapidement les mises à jour Office associées pour se prémunir contre ces attaques par ingénierie sociale.
  • RCE sur Windows Server Update Services (CVE-2025-59287) – Une vulnérabilité critique (CVSS 9.8/10) affectant le service WSUS (Windows Server Update Services). Elle permet à un attaquant non authentifié, disposant d’un accès réseau au serveur WSUS, d’envoyer des données malveillantes provoquant une désérialisation conduisant à de l’exécution de code arbitraire à distance sur le serveur    . Microsoft indique que, bien qu’aucune exploitation n’ait été signalée à ce jour, le risque est élevé (« exploitation plus probable ») du fait de la complexité d’attaque faible et de l’absence de nécessité d’identifiants  . Compte tenu des privilèges élevés de WSUS sur le système (distribution des patchs), une compromission de ce service donnerait à l’attaquant le contrôle complet du serveur de mises à jour et des endpoints clients qui s’y connectent  . Il est donc crucial d’appliquer ce correctif sans attendre.

Fin de Windows 10 : quelles options ?

Windows 10 (versions grand public) reçoit en octobre 2025 ses ultimes mises à jour de sécurité gratuites  . À partir de maintenant, seuls les clients ayant souscrit au programme Extended Security Updates (ESU) continueront à recevoir des patchs. Microsoft propose en effet des ESU payantes pour prolonger le support : jusqu’à 1 an pour les particuliers (Windows 10 Home/Pro) et jusqu’à 3 ans pour les entreprises (Windows 10 Enterprise)  . Notons que Microsoft offre une année d’ESU gratuite aux utilisateurs européens de Windows 10 Édition Familiale ou Professionnelle (via l’association de l’appareil à un compte Microsoft)    – une mesure exceptionnelle qui coïncide avec l’entrée en vigueur de nouvelles régulations sur le droit des consommateurs dans l’UE. En dehors de ce cas, le tarif annoncé est d’environ 30 $ par an et par poste pour le grand public  .

Les éditions Windows 10 Enterprise LTSC (canal de support long terme) ne sont pas concernées par cette échéance immédiate et continueront de recevoir des correctifs de sécurité pendant plusieurs années (jusqu’en 2027 pour LTSC 2021, et même 2032 pour Windows 10 IoT Enterprise LTSC 2021) . Néanmoins, pour la plupart des utilisateurs de Windows 10 classique, il est temps de planifier une migration. Microsoft pousse naturellement à la transition vers Windows 11, mais de nombreux PC plus anciens ne satisfont pas aux exigences matérielles de Windows 11 et se retrouveront sans support.

Plusieurs autres produits Microsoft atteignent par ailleurs leur fin de vie avec ce Patch Tuesday d’octobre 2025 :

  • Suites bureautiques : Office 2016 et Office 2019 reçoivent leurs derniers patchs garantis .
  • Messagerie d’entreprise : Exchange Server 2016/2019 sont désormais remplacés par Exchange Server Subscription Edition, marquant la fin des versions Exchange “classiques” maintenues séparément .
  • Collaboratif/Communication : Skype for Business 2016 n’est plus supporté après ce mois.
  • OS spécialisés : Windows 11 IoT Enterprise 22H2 arrive en fin de support, de même que le client mail Outlook 2016 (inclus dans Office 2016). 

Enfin, pour les utilisateurs particuliers qui ne pourraient ni mettre à niveau leur matériel vers Windows 11 ni souscrire aux ESU, il convient d’envisager des solutions alternatives pour rester en sécurité. Des experts recommandent par exemple de migrer vers un système libre comme Linux sur les PC plus anciens  . Des distributions grand public telles que Linux Mint offrent une interface familière et une grande facilité d’usage, tout en étant capables de faire fonctionner la suite LibreOffice pour lire/éditer les documents Microsoft Office existants  . Une option consiste à tester Linux en démarrage sur clé USB (“Live USB”) afin de se faire la main sans risque avant une éventuelle installation définitive  .

La conclusion de ce Patch Tuesday d’octobre 2025 est d’une ampleur exceptionnelle par le nombre de failles corrigées et par son caractère symbolique (fin de Windows 10). Il est fortement conseillé d’appliquer sans délai les correctifs de sécurité, en priorisant les vulnérabilités critiques et zero-day évoquées ci-dessus, et d’anticiper la fin de support des produits en fin de vie afin de maintenir un bon niveau de sécurité.

Enjoy !

Sources :
https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/
 https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/
 https://www.rapid7.com/blog/post/em-patch-tuesday-october-2025/