Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > CVE-2026-32202 : Quand la navigation dans un dossier se transforme en violation de données

CVE-2026-32202 : Quand la navigation dans un dossier se transforme en violation de données

par Bob Ertl updated mai 13, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 10 minutes

Le 27 avril 2026, Microsoft a mis à jour son avis concernant la CVE-2026-32202 pour confirmer ce que les chercheurs d’Akamai avaient déjà documenté : la vulnérabilité faisait l’objet d’une exploitation active. Le lendemain, la CISA a ajouté la CVE au catalogue des vulnérabilités exploitées connues et a ordonné aux agences fédérales de corriger la faille avant le 12 mai.

Points clés à retenir

  1. Le vol d’identifiants sans interaction utilisateur est désormais une réalité opérationnelle. CVE-2026-32202 permet à un attaquant de récupérer le hash NTLMv2 d’un utilisateur Windows simplement en déclenchant l’affichage d’un dossier. APT28 l’exploite depuis décembre 2025.
  2. Microsoft a publié le correctif avec le mauvais indicateur. La mise à jour du 14 avril a corrigé CVE-2026-32202 mais ne l’a pas signalée comme exploitée. Deux semaines d’exposition silencieuse se sont écoulées avant que la CISA et Microsoft ne corrigent l’avis et n’imposent une action fédérale.
  3. Compromettre une identité revient à compromettre les données. Les hashes NTLM volés permettent des attaques de relais et des mouvements latéraux vers des partages de fichiers, M365, SharePoint et des archives sur site — là où résident réellement les données réglementées.
  4. L’authentification n’est pas l’autorisation. Traitez-la comme telle. Un identifiant relayé avec succès doit toujours passer par une application de règles ABAC au niveau du contenu, et non donner un accès en lecture inconditionnel. La plupart des organisations n’ont pas mis en place cette séparation.
  5. La gouvernance au niveau des données est la seule réponse durable. Quand le vol d’identifiants ne nécessite aucun clic et que les correctifs accusent deux semaines de retard, la défense qui tient est celle qui gouverne les données elles-mêmes — indépendamment de qui a réussi à s’authentifier.

Le fonctionnement de cette faille est d’une simplicité déconcertante. Un fichier raccourci Windows malveillant (LNK) atterrit dans le dossier de téléchargement d’un utilisateur. L’utilisateur ne clique pas dessus. Il n’exécute rien. Il ouvre simplement le dossier. L’Explorateur Windows affiche le contenu du dossier et, ce faisant, tente de récupérer une icône pour le raccourci. Le raccourci contient un chemin UNC pointant vers un serveur SMB contrôlé par l’attaquant. Windows initie la connexion SMB, et une authentification NTLM automatique s’ensuit. Le hash Net-NTLMv2 de la victime est alors transmis à l’attaquant. Aucune interaction en dehors de l’ouverture du dossier. Aucun avertissement. Aucun message d’alerte.

Ce hash peut ensuite servir à des attaques de relais NTLM contre d’autres systèmes de l’environnement, ou être cassé hors ligne pour retrouver le mot de passe de l’utilisateur. Dans les deux cas, l’attaquant dispose alors d’éléments d’authentification ouvrant l’accès à des partages de fichiers, boîtes mail M365, sites SharePoint, archives sur site et toute ressource accessible à l’utilisateur. Le bug affiche un score CVSS de 4,3, ce qui sous-estime sa portée opérationnelle d’un ordre de grandeur.

CVE-2026-32202 n’est pas vraiment un bug Windows Shell. C’est une filière de vol d’identifiants, et les identifiants qu’elle fournit sont les clés de vos données.

L’échec du « correctif silencieux » qui a coûté deux semaines d’exposition

Le calendrier de divulgation de CVE-2026-32202 illustre pourquoi la rapidité des correctifs n’est plus une stratégie défensive suffisante. La faille provient d’un correctif incomplet pour CVE-2026-21510, une vulnérabilité Windows Shell plus grave que Microsoft a corrigée en février 2026 après la découverte par Akamai de son exploitation par APT28 contre l’Ukraine et des pays de l’UE en décembre 2025. Le correctif de février a bloqué la voie d’exécution de code à distance. Il n’a pas bloqué la voie de coercition de l’authentification.

Ce résidu est devenu CVE-2026-32202.

Microsoft l’a corrigé dans la mise à jour Patch Tuesday du 14 avril 2026. Mais l’avis initial ne signalait pas la CVE comme exploitée. L’indicateur d’exploitation manquait. Le vecteur CVSS était mal classifié. Les équipes de sécurité, en suivant leurs processus classiques de gestion des correctifs, n’avaient aucun signal formel pour traiter CVE-2026-32202 en urgence. Pendant treize jours, une faille de vol d’identifiants sans interaction utilisateur, exploitée activement, est restée en attente dans les files de correctifs, reléguée au second plan car les métadonnées la présentaient comme un bug de gravité moyenne.

Microsoft a corrigé l’avis le 27 avril. La CISA a ajouté CVE-2026-32202 au catalogue KEV le 28 avril avec une date limite fédérale de correction au 12 mai. Pour les organisations hors du secteur exécutif civil fédéral, aucune échéance formelle ne s’applique. La courbe de déploiement du correctif sera classique : les environnements les plus matures corrigeront en quelques jours, l’entreprise médiane en quelques semaines, et une longue traîne d’organisations laissera la faille ouverte pendant des mois.

Pendant ce temps, APT28 exploite la faille sous-jacente depuis décembre 2025. À l’arrivée de la mention KEV de la CISA, la fenêtre d’exploitation était ouverte depuis plus de quatre mois.

Ce n’est pas un échec propre à une seule CVE. C’est la condition structurelle dans laquelle évoluent désormais les attaquants augmentés par l’IA.

APT28 et la valeur stratégique des identifiants volés

Le contexte d’attribution de CVE-2026-32202 est important. APT28 — également connu sous les noms Fancy Bear, Forest Blizzard, GruesomeLarch et Pawn Storm — est l’unité de renseignement militaire russe affiliée au GRU, responsable notamment du piratage du DNC en 2016 et d’une série d’intrusions contre des gouvernements alliés à l’OTAN. Le CERT-UA a confirmé qu’APT28 a utilisé CVE-2026-21510 (la faille parente) lors de la campagne de décembre 2025 contre l’Ukraine et des pays de l’UE. Microsoft indique ne pas avoir directement lié APT28 à l’exploitation de CVE-2026-32202, mais la relation structurelle entre les deux CVE et la fenêtre d’exploitation de quatre mois de la capacité sous-jacente parlent d’eux-mêmes.

Le mode opératoire d’APT28 explique pourquoi un score CVSS « faible » est trompeur. Les acteurs étatiques n’ont pas besoin de bruit de type ransomware pour tirer profit d’un parc Windows. Ils cherchent un accès stable, persistant et discret aux systèmes de données critiques d’une organisation. Les hashes NTLM volés leur offrent exactement cela. Ils permettent des mouvements latéraux indétectables, semblables à une authentification légitime. Ils ouvrent l’accès à des partages de fichiers, systèmes de messagerie, dépôts documentaires, sites SharePoint et à l’infrastructure d’identité sur site qui structure les environnements hybrides.

Le CrowdStrike Global Threat Report 2026 met en perspective cette tendance. Les intrusions axées sur le cloud privilégient l’abus d’identité et de confiance plutôt que l’installation de malwares : abus de comptes valides, vol de jetons de session, exploitation des flux SSO et fédération. Les plateformes SaaS sont des cibles de choix car elles concentrent des données sensibles clients, collaborateurs et opérationnelles, tout en étant moins surveillées que les endpoints. Les attaques de type adversary-in-the-middle contre Microsoft 365 et Entra ID volent cookies et jetons pour contourner la MFA. Les acteurs eCrime comme étatiques scrutent les environnements cloud et SaaS à la recherche d’informations personnelles identifiables (PII), de données réglementées et de données stratégiques.

CVE-2026-32202 s’inscrit parfaitement dans ce contexte opérationnel. Il s’agit d’une technique d’acquisition d’identifiants discrète et très rentable, qui s’applique à tout environnement Windows où NTLM est encore actif et où les partages de dossiers sont utilisés.

Le pipeline identité-données que la plupart des défenseurs n’ont pas sécurisé

Après la divulgation d’un vol d’identifiants, le réflexe défensif consiste à renforcer les contrôles d’identité — corriger l’OS, durcir NTLM, activer la signature SMB, segmenter le périmètre réseau. Ces mesures sont importantes. Elles restent insuffisantes.

La raison est structurelle. Le vol d’identifiants n’est que le début d’une chaîne d’attaque plus longue. Les dégâts surviennent quand l’identifiant volé permet d’accéder à un système hébergeant des données réglementées — un partage de fichiers avec des informations médicales protégées (PHI), un site SharePoint avec des contrats confidentiels, une boîte Exchange contenant des communications M&A, une archive avec des informations CUI. Dans la plupart des environnements, dès qu’un attaquant accède à ce système avec un identifiant valide, il obtient tous les droits de l’utilisateur compromis. Il n’y a pas de second contrôle. La couche données fait confiance à la couche identité sans réserve.

C’est cette frontière qu’exploitent le plus efficacement les attaquants augmentés par l’IA. Le Thales Data Threat Report 2026 montre que le vol et la compromission d’identifiants constituent le principal type d’attaque contre les infrastructures de gestion cloud, représentant 67 % des attaques sur cette surface. La gestion des identités et des accès est identifiée comme la discipline de sécurité la plus critique — reflet de la focalisation des attaquants sur les identifiants et données d’identité comme cibles de valeur. Les organisations utilisent en moyenne 2,26 fournisseurs IaaS et 89 applications SaaS, ce qui multiplie les flux de données inter-cloud et inter-SaaS et complique l’application cohérente des règles.

Le rapport Kiteworks Data Security and Compliance Risk : 2026 Forecast révèle que 33 % des organisations n’ont pas de journaux d’audit de qualité suffisante pour couvrir leurs échanges de données. Même lorsqu’un vol d’identifiants est détecté, la plupart des organisations ne peuvent pas reconstituer précisément quelles données ont été atteintes, ce qui a été exfiltré et quelles obligations réglementaires de divulgation ont été déclenchées. L’exposition réglementaire s’ajoute à l’exposition opérationnelle.

CVE-2026-32202 rappelle que compromettre une identité, c’est compromettre les données — et que la frontière entre les deux est le point de rupture de la défense.

L’authentification répond à la question « qui ». Elle ne répond pas à la question « que peuvent-ils faire ? »

Le principe défensif à renforcer face à CVE-2026-32202 est plus ancien que NTLM et plus simple que le marketing du zéro trust : l’authentification répond à une seule question, à savoir « qui a envoyé cette requête ». Elle ne dit pas si la requête est sûre à exécuter. Elle ne dit pas si le compte demandeur doit accéder à cette ressource précise, à ce moment précis, dans ce contexte métier précis. Elle ne dit pas si l’opération demandée est autorisée pour ce compte sur ces données.

La plupart des environnements confondent ces questions. Un utilisateur avec des identifiants valides est traité comme un utilisateur autorisé. La couche données fait confiance à la couche identité pour avoir appliqué les règles. Quand la couche identité est justement celle qui a été compromise, tout le modèle défensif s’effondre en même temps.

La solution architecturale consiste à séparer l’authentification de l’autorisation au niveau des données. Même un identifiant NTLM relayé avec succès doit passer par une application de règles ABAC au niveau du contenu, qui vérifie : ce compte est-il autorisé à lire cette classification de données, dans cette juridiction, à ce moment, pour cet usage, avec cet état de terminal ? L’opération (lecture, téléchargement, déplacement, suppression) est-elle permise par le rôle et le contexte actuel du compte ? L’activité est-elle conforme au comportement habituel de l’utilisateur, ou présente-t-elle une anomalie qui doit déclencher une vérification supplémentaire ?

Les données du rapport 2026 Forecast sur l’écart entre règles et application mesurent concrètement la rareté de cette frontière dans la réalité. Les organisations se disent prêtes pour le zéro trust, mais les journaux d’audit, la posture de chiffrement et l’application des règles au niveau des données font souvent défaut. CVE-2026-32202 est le genre de divulgation qui met en lumière cet écart.

Gouvernance au niveau des données : l’architecture qui tient

Quand le vol d’identifiants ne nécessite aucun clic, que les correctifs accusent des mois de retard, et que le même identifiant ouvre à la fois la boîte mail et le partage de fichiers contenant des données réglementées, la défense doit descendre sous la couche identité.

C’est ce que permet la gouvernance au niveau des données. L’application de règles ABAC au niveau du contenu signifie qu’une session authentifiée reste soumise à des contrôles basés sur les attributs avant tout mouvement de données sensibles — même si l’authentification a été obtenue avec un identifiant volé. Un chiffrement validé FIPS 140-3 garantit qu’un fichier exfiltré n’est pas une fuite en clair. Des journaux d’audit infalsifiables, intégrés en temps réel au SIEM, permettent de détecter un comportement anormal en quelques minutes, et non après des mois d’enquête. L’accès zéro trust pour les agents IA — qui disposent désormais d’un accès courant aux mêmes partages de fichiers et dépôts documentaires que les attaquants — signifie qu’un assistant IA compromis par injection de prompt ne peut pas exfiltrer des données auxquelles il n’a jamais été autorisé à accéder.

C’est ce schéma architectural que permet la consolidation des échanges de données sous un même plan de gouvernance. Il ne remplace pas l’hygiène des identités, le durcissement NTLM ou la gestion des correctifs. Ces éléments restent essentiels. C’est la couche sous-jacente à l’identité qui ne s’effondre pas quand l’identité est compromise.

Cinq actions à mener avant la prochaine faille de vol d’identifiants

CVE-2026-32202 sera corrigée. La prochaine vulnérabilité de vol d’identifiants sans interaction utilisateur suivra. La posture architecturale qui permet de traverser les deux est la même. Cinq actions concrètes :

Premièrement, appliquez immédiatement la mise à jour Patch Tuesday du 14 avril 2026 si elle n’a pas encore été déployée. CVE-2026-32202 a été corrigée dans cette mise à jour. C’est la seule solution connue.

Deuxièmement, durcissez NTLM et le flux SMB sortant. Bloquez SMB sortant (TCP 445) au niveau du périmètre réseau pour empêcher l’exfiltration des hashes NTLM vers des serveurs contrôlés par des attaquants externes. Activez la signature SMB dans tout l’environnement pour limiter les attaques de relais. Restreignez ou désactivez NTLM au profit de Kerberos si votre portefeuille applicatif le permet.

Troisièmement, auditez la frontière de confiance identité-données. Où une authentification réussie donne-t-elle un accès en lecture inconditionnel à des données sensibles ? Ce sont ces frontières qui nécessitent l’application de règles ABAC, des contrôles d’accès au niveau du contenu et une vérification continue plutôt qu’une confiance au niveau de la session. Les données du rapport Kiteworks 2026 Forecast sur le déficit de journaux d’audit constituent le point de départ opérationnel de cet audit.

Quatrièmement, recherchez les indicateurs APT28 liés à la campagne LNK de décembre 2025. Akamai a publié des détails techniques sur la chaîne d’exploitation. Les équipes de sécurité opérant dans l’UE ou à proximité de l’Ukraine doivent rechercher des fichiers LNK malveillants, des connexions SMB inattendues vers des hôtes externes et l’exécution de fichiers CPL hors logiciels autorisés.

Cinquièmement, mettez en place la gouvernance au niveau des données qui rendra la prochaine divulgation maîtrisable. Le rapport Kiteworks 2026 Forecast montre que 72 % des organisations ne peuvent pas inventorier leurs composants logiciels, 71 % n’ont pas de surveillance continue des dépendances et 33 % n’ont pas de journaux d’audit de qualité suffisante. Combler ces lacunes permet de transformer un vol d’identifiants en un incident maîtrisé, traçable et défendable vis-à-vis des régulateurs, au lieu d’une reconstruction judiciaire de plusieurs mois.

Le bug est ancien. La défense doit être nouvelle.

Le relais NTLM est un mode d’attaque connu depuis plus de vingt ans. Le vol d’identifiants via l’affichage d’un dossier n’est nouveau que par son vecteur de livraison. Ce qui rend CVE-2026-32202 important, ce n’est pas une nouvelle classe d’attaque — c’est le fait qu’il cible des environnements où l’hypothèse structurelle « authentification = autorisation » reste fondamentale.

Cette hypothèse a volé en éclats en décembre 2025, quand APT28 a commencé à exploiter la faille sous-jacente. Elle a de nouveau échoué en avril 2026, quand Microsoft a publié un correctif avec de mauvaises métadonnées. Elle échouera encore lors de la prochaine divulgation. L’architecture qui résiste à ces ruptures est celle qui gouverne les données indépendamment de l’identité authentifiée.

Parcourir un dossier ne devrait pas entraîner une fuite de données. Avec la bonne architecture sous la couche identité, ce n’est pas le cas.

Foire aux questions

CVE-2026-32202 est une vulnérabilité de spoofing dans Windows Shell qui permet à des attaquants de récupérer le hash Net-NTLMv2 d’un utilisateur Windows sans aucune interaction autre que la navigation dans un dossier contenant un fichier raccourci LNK malveillant. Lorsque l’Explorateur Windows affiche le dossier, il résout automatiquement un chemin UNC intégré dans le raccourci, initie une connexion SMB vers le serveur contrôlé par l’attaquant et déclenche une authentification NTLM qui transmet le hash à l’attaquant. Ce hash peut ensuite servir à des attaques de relais ou être cassé hors ligne. APT28 exploite cette capacité sous-jacente depuis décembre 2025. Selon le rapport Kiteworks Data Security and Compliance Risk : 2026 Forecast, 33 % des organisations n’ont pas de journaux d’audit de qualité suffisante — ce qui signifie que la plupart ne peuvent pas reconstituer quelles données ont été atteintes après un relais réussi.

Les scores CVSS prennent en compte l’impact immédiat sur la confidentialité, mais ne reflètent pas toute la chaîne d’attaque. CVE-2026-32202 fournit un hash Net-NTLMv2 qui permet des attaques de relais NTLM et un cassage hors ligne, ouvrant la voie à des mouvements latéraux vers des partages de fichiers, M365, SharePoint et des archives sur site où résident les données réglementées. Le vecteur sans interaction utilisateur, l’attribution à APT28 et la fenêtre d’exploitation de quatre mois avant la confirmation publique justifient de traiter ce correctif comme prioritaire, quel que soit le score. Le rapport Kiteworks Data Security and Compliance Risk : 2026 Forecast l’illustre : quand 33 % des organisations n’ont pas de journaux d’audit de qualité suffisante, un seul vol d’identifiants peut générer une fenêtre d’exposition réglementaire de plusieurs mois que le score CVSS ne mesure pas.

CVE-2026-32202 résulte d’un correctif incomplet pour CVE-2026-21510, une faille Windows Shell plus grave qu’APT28 a exploitée lors d’attaques contre l’Ukraine et des pays de l’UE en décembre 2025. Le correctif de février 2026 pour CVE-2026-21510 a bloqué la voie d’exécution de code à distance mais a laissé une faille de coercition d’authentification qui est devenue CVE-2026-32202. Akamai a découvert la vulnérabilité résiduelle et l’a signalée à Microsoft, qui a publié un correctif dans la mise à jour Patch Tuesday du 14 avril 2026. Microsoft n’a pas initialement signalé CVE-2026-32202 comme exploitée ; la correction est intervenue le 27 avril, en même temps que l’ajout au catalogue KEV de la CISA. Le rapport Kiteworks Data Security and Compliance Risk : 2026 Forecast met en lumière la tendance : quand la rapidité des correctifs accuse des mois de retard sur l’exploitation et que la précision des métadonnées accuse des semaines de retard, les organisations ne peuvent pas se reposer uniquement sur la correction des failles.

La gouvernance au niveau des données sépare l’authentification de l’autorisation au niveau du contenu. Même si un attaquant relaie avec succès un identifiant NTLM volé et s’authentifie sur une cible, l’application de règles ABAC vérifie chaque demande de données en fonction du rôle du compte, de la classification des données, du contexte de la requête et de l’opération demandée. Un chiffrement validé FIPS 140-3 garantit qu’un fichier exfiltré n’est pas une fuite en clair. Des journaux d’audit infalsifiables, intégrés en temps réel au SIEM, rendent les accès anormaux détectables en quelques minutes. Le rapport Kiteworks Data Security and Compliance Risk : 2026 Forecast montre que 33 % des organisations n’ont pas de journaux d’audit de qualité suffisante, ce qui signifie que la plupart ne peuvent pas prouver quelles données ont circulé après une compromission d’identifiants — c’est précisément ce que la gouvernance au niveau des données vise à corriger.

Appliquez la mise à jour Patch Tuesday du 14 avril 2026 si elle n’a pas encore été déployée — c’est la seule solution connue. Bloquez SMB sortant (TCP 445) au niveau du périmètre réseau pour empêcher l’exfiltration des hashes NTLM vers des serveurs externes. Activez la signature SMB dans tout l’environnement. Restreignez ou désactivez NTLM si votre portefeuille applicatif le permet. Auditez les frontières de confiance identité-données : partout où une authentification réussie donne un accès en lecture inconditionnel à des données sensibles, il faut ajouter une application de règles ABAC au niveau du contenu. Recherchez les indicateurs APT28 liés à la campagne LNK de décembre 2025. Le rapport Kiteworks Data Security and Compliance Risk : 2026 Forecast montre que 71 % des organisations n’ont pas de surveillance continue des dépendances et que 65 % n’ont pas déployé de contrôles zéro trust dans leur supply chain — combler ces lacunes permet de survivre au prochain vol d’identifiants sans interaction utilisateur, au lieu d’en subir les conséquences catastrophiques.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks