Microsoft corrige discrètement une faille de sécurité exploitée depuis 8 ans dans les fichiers .lnk de Windows
En novembre 2025, Microsoft a silencieusement déployé une correction pour une vulnérabilité présente dans les fichiers raccourcis Windows (.lnk) qui était activement exploitée par des groupes d’espionnage et des cybercriminels depuis 2017. Cette faille, référencée sous le nom technique CVE-2025-9491, permettait d’injecter du code malveillant de façon cachée dans ces fichiers couramment utilisés.
Une vulnérabilité longtemps ignorée
La problématique avait été signalée pour la première fois par Trend Micro en 2017. Le subterfuge reposait sur une limitation technique du champ « Cible » dans les propriétés des fichiers .lnk. En ajoutant une succession d’espaces, les attaquants pouvaient camoufler des commandes malveillantes, rendant difficile leur détection lors d’une vérification humaine.
Malgré les alertes répétées de la communauté cybersécurité, Microsoft avait longtemps qualifié cette faille de « faible gravité » et estimé qu’elle ne justifiait pas d’intervention prioritaire.
L’attaque qui a tout changé
Le tournant semble être survenu en octobre 2025, lorsque le groupe d’espionnage UNC6384 (également connu sous le nom de « Mustang Panda »), lié à la Chine, a exploité massivement cette vulnérabilité dans une campagne ciblant des entités diplomatiques européennes en Hongrie, Belgique, Italie, Serbie et Pays-Bas.
Les attaquants avaient diffusé des fichiers .lnk piégés via une campagne de phishing sophistiquée, usurpant des invitations à des ateliers de l’OTAN ou de la Commission européenne. L’ouverture de ces raccourcis en apparence inoffensifs déclenchait des scripts PowerShell obfusqués qui déployaient le cheval de Troie d’accès à distance PlugX, permettant aux attaquants d’obtenir un accès persistant aux systèmes compromis.
La solution de Microsoft
La correction, déployée sans annonce officielle, a été découverte et documentée par les chercheurs d’ACROS Security dans un billet de blog publié le 2 décembre 2025. La solution est simple mais efficace : désormais, l’intégralité du contenu saisi dans le champ « Cible » est affichée sur une seule ligne dans la fenêtre Propriétés, ce qui empêche de masquer des commandes malveillantes derrière des espaces ou des caractères invisibles.
Cette modification du comportement des fichiers .lnk sous Windows 11 représente un demi-aveu pour Microsoft, qui reconnaît implicitement l’importance de cette vulnérabilité après l’avoir minimisée pendant des années.
Implications pour la sécurité
Bien que cette correction soit bienvenue, elle arrive après huit années d’exploitation active par divers acteurs malveillants. Les organisations doivent s’assurer que leurs systèmes sont à jour avec les derniers correctifs de sécurité, mais aussi vérifier que les machines potentiellement compromises durant cette longue période ont été correctement assainies.
Cet incident souligne l’importance de prendre au sérieux les vulnérabilités signalées par la communauté de chercheurs en sécurité, même celles qui peuvent sembler de faible gravité à première vue. Dans le domaine de la cybersécurité, ce sont souvent les failles les plus discrètes qui finissent par causer les plus grands dommages.
