En fin de semaine dernière, Microsoft a annoncé avoir découvert une faille critique touchant sa célèbre application de double authentification, Microsoft Authenticator.
Cette vulnérabilité permet de contourner les protections d’accès en s’emparant directement des jetons de session (OAuth). Des correctifs sont d’ores et déjà disponibles sur les boutiques d’applications d’Apple et de Google.
Un vol de jetons d’authentification totalement silencieux
La faille de sécurité porte l’identifiant CVE-2026-41615. Elle s’inscrit dans la catégorie CWE-200, relative à l’exposition d’informations sensibles à un acteur non autorisé. Selon les documents techniques publiés par l’éditeur, cette faille de sécurité permet à un pirate de fabriquer un double de vos clés à votre insu, pour l’expliquer simplement.
L’attaquant vous envoie une fausse notification de connexion sur votre application Microsoft Authenticator. Elle est si bien imitée qu’elle ressemble à s’y méprendre à une demande de routine. C’est le piège. Si vous validez cette notification par habitude, l’application se fait duper.
Au lieu de sécuriser votre compte, l’application va créer un « pass numérique » secret (le fameux jeton OAuth) et l’envoyer directement au pirate, en arrière-plan et en toute discrétion.
C’est là que les choses se gâtent. Muni de ce pass, l’attaquant peut se connecter à votre place, sans même avoir besoin de connaître votre mot de passe. Il a désormais un accès complet à vos services Microsoft : vos discussions privées sur Teams, vos fichiers partagés sur SharePoint ou encore vos mails Outlook.
Pire encore, si la victime est un administrateur informatique, le pirate récupère carrément les clés de toute l’entreprise et de ses serveurs cloud.
Une sévérité maximale et des mises à jour obligatoires
L’indice de gravité de cette faille est très élevé. Microsoft lui attribue un score CVSS v3.1 de 9,6, qualifié de critique, frôlant le maximum possible. De son côté, le NIST (National Institute of Standards and Technology) se montre un peu plus mesuré dans sa base de données NVD avec un score révisé à 7,4.
Aucun cas d’exploitation active n’a été répertorié au moment de la divulgation publique de la faille par Microsoft le 14 mai 2026.
Toutefois, la menace est bien réelle et requiert une intervention rapide. Microsoft a déployé une mise à jour sur Android et iOS afin de combler cette faille.
Voici les versions minimales à installer :
- Microsoft Authenticator pour Android : version 6.2605.2973 (ou supérieure), disponible sur le Google Play Store.
- Microsoft Authenticator pour iOS : version 6.8.47 (ou supérieure), disponible sur l’Apple App Store.
Tous nos bons plans directement sur WhatsApp. Rejoignez Frandroid Bons Plans, zéro spam garanti.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.