Aller au contenu principal
Cybersécurité9 min de lecture

CVE-2023-21716 : quand un simple document Word peut prendre le contrôle de votre PC

La faille CVE-2023-21716 permet de prendre le contrôle d'un PC via un simple fichier Word. Découvrez pourquoi le patching automatisé et l'EDR sont indispensables pour protéger votre PME.

CVE-2023-21716

Sommaire

Un fichier Word envoyé à votre comptable peut compromettre toute votre entreprise

Imaginez la scène. Lundi matin, 9h15. Votre comptable reçoit un email d'un fournisseur habituel : "Veuillez trouver ci-joint la facture corrigée." Elle ouvre le fichier Word en pièce jointe. Rien ne se passe visuellement. Pas d'alerte, pas de message suspect. Mais en arrière-plan, un attaquant vient de prendre le contrôle total de son poste.

Ce scénario n'est pas de la fiction. C'est exactement ce que permet la vulnérabilité CVE-2023-21716, découverte dans Microsoft Word par le chercheur en sécurité Joshua Drake.

CVE-2023-21716 : une faille critique à 9,8/10

Les détails techniques de cette vulnérabilité sont alarmants :

  • Score CVSS : 9,8 sur 10 (critique)
  • Produits affectés : Microsoft Word, Office, SharePoint
  • Vecteur d'attaque : un fichier RTF envoyé par email ou partagé
  • Interaction requise : aucune (la simple prévisualisation dans Outlook suffit)
  • Privilèges nécessaires : aucun (attaquant non authentifié)
  • Conséquence : exécution de code arbitraire avec les privilèges de l'utilisateur

La faille se situe dans la bibliothèque wwlib.dll de Microsoft Word. Un fichier RTF spécialement concu provoque un dépassement de mémoire qui permet à l'attaquant d'exécuter n'importe quelle commande sur le poste de la victime. Microsoft a publié un correctif lors du Patch Tuesday de février 2023, et un exploit proof-of-concept a été rendu public peu après.

Pourquoi votre PME est la cible idéale pour ce type d'attaque

Les grandes entreprises ont des équipes sécurité qui déploient les patchs Microsoft en 24 à 48 heures. Les PME ? La réalité est très différente.

Profil type d'une PME vulnérable à CVE-2023-21716 :

  • Les mises à jour Windows sont en "mode automatique" mais souvent reportées par les utilisateurs ("Pas maintenant, je suis en réunion")
  • Personne ne vérifie si les patchs sont réellement installés sur tous les postes
  • Pas d'outil de gestion centralisée du parc (chaque poste est autonome)
  • Les pièces jointes Word sont ouvertes sans méfiance (c'est un outil de travail quotidien)
  • Pas d'EDR pour détecter un comportement anormal après l'ouverture du fichier

Résultat : des semaines, voire des mois peuvent passer entre la publication du correctif et son installation effective sur tous les postes d'une PME. Pendant ce temps, l'entreprise est une cible ouverte.

Les attaquants le savent. C'est pourquoi les PME représentent 43% des victimes de cyberattaques selon le rapport Verizon DBIR, alors qu'elles pensent souvent être "trop petites pour être ciblées".

PME qui patche manuellement vs PME avec patching automatisé Dhala

CritèrePatching manuel (PME classique)Patching automatisé Dhala
Délai de déploiement du patch2 semaines à 3 mois24 à 72 heures après publication
Taux de couverture60 à 80% des postes (oublis, postes éteints, refus utilisateur)100% des postes supervisés
VérificationAucune ou manuelleDashboard centralisé, alertes sur postes non conformes
RedémarrageDépend de la bonne volonté de l'utilisateurPlanifié automatiquement hors heures de bureau
HistoriquePas de traçabilitéRapport mensuel de conformité
Fenêtre de vulnérabilitéSemaines à moisHeures

Avec l'infogérance Dhala, le patching est géré de manière centralisée pour l'ensemble de votre parc. Chaque Patch Tuesday, les correctifs critiques sont testés puis déployés sur tous vos postes dans les 72 heures. Vous n'avez rien à faire.

Vérifiez si vos postes sont à jour

Comment l'EDR aurait bloqué cette attaque, même sans le patch

Le patching est la première ligne de défense, mais il a une limite : il ne protège que contre les failles connues et corrigées. Que se passe-t-il entre la découverte de la faille et la publication du patch (le fameux "zero-day") ?

C'est là qu'intervient l'EDR (Endpoint Detection and Response).

Voici comment un EDR managé aurait réagi face à l'exploitation de CVE-2023-21716, même sur un poste non patché :

  1. Détection comportementale : Word.exe tente de lancer un processus enfant inhabituel (cmd.exe, powershell.exe). L'EDR identifie ce comportement comme anormal et le bloque.
  2. Analyse en sandbox : la pièce jointe RTF est analysée dans un environnement isolé avant d'atteindre la boîte de réception (si couplé avec un antispam avancé).
  3. Isolation automatique : si le comportement malveillant est détecté après ouverture, l'EDR isole le poste du réseau pour empêcher la propagation latérale.
  4. Alerte SOC : l'événement est remonté aux analystes du SOC qui investiguent et prennent les mesures complémentaires.

Le patching automatisé empêche 95% des attaques. L'EDR managé rattrape les 5% restants. C'est cette combinaison qui rend une PME réellement résiliente.

Scénario complet : de l'email malveillant à la compromission totale

Pour comprendre l'urgence, voici le déroulé d'une attaque exploitant CVE-2023-21716 sur une PME non protégée :

HeureCe qui se passeCe que voit l'utilisateur
09:15Email reçu avec pièce jointe RTF"Facture corrigée" d'un fournisseur
09:16Ouverture du fichier dans WordDocument vide ou contenu anodin
09:16Exploitation de la faille, exécution de codeRien de visible
09:17Téléchargement d'un outil de prise de contrôle à distanceRien de visible
09:30L'attaquant explore le réseau interneRien de visible
10:00Accès au serveur de fichiers, exfiltration de donnéesRien de visible
14:00Déploiement du ransomware sur tous les postesTous les fichiers sont chiffrés

Tout cela en moins de 5 heures. Sans EDR, sans supervision, personne ne voit rien jusqu'à ce qu'il soit trop tard.

FAQ : patching et protection des PME

Pourquoi ne pas simplement bloquer les fichiers RTF ?

C'est effectivement une mesure temporaire recommandée par Microsoft. Mais bloquer les RTF ne résout qu'une seule faille. De nouvelles vulnérabilités dans Word, Excel, PowerPoint et Outlook sont découvertes chaque mois (en moyenne 10 à 15 failles critiques par Patch Tuesday). La seule solution viable à long terme est un patching automatisé et systématique couplé à un EDR.

Mon antivirus ne suffit pas à me protéger ?

Un antivirus traditionnel fonctionne par signatures : il ne détecte que les menaces déjà connues et référencées. L'exploitation de CVE-2023-21716 utilise des techniques d'évasion qui contournent les antivirus classiques. Un EDR analyse les comportements (Word qui lance PowerShell, par exemple) et bloque les actions suspectes même si la menace est inconnue.

Combien de temps faut-il pour déployer le patching automatisé sur ma PME ?

Avec l'infogérance Dhala, le déploiement de l'outil de gestion de parc et de patching automatisé prend 1 à 2 jours ouvrés pour une PME de 10 à 50 postes. Aucune interruption de service n'est nécessaire. L'agent s'installe en arrière-plan et les premiers patchs sont déployés dès le soir même.

Passez au patching automatisé pour votre PME
Valentin Bourgeois, fondateur Dhala Cyberdéfense

Valentin Bourgeois

Fondateur — Dhala Cyberdéfense · Meilleur Espoir MSP 2025 (BeMSP)

Expert en cybersécurité et infogérance pour PME. J'accompagne les dirigeants dans la protection de leur système d'information — de l'audit initial au SOC 24/7.

Demander un audit Sans engagement — résultats sous 48h
5.0 — 40 avis
+50 PME protégées
SOC 24/7
3 mois sans engagement

Articles similaires

Patch Tuesday Microsoft mars 2026 — correctifs de sécurité pour PME
Cybersécurité11 mars 2026

Patch Tuesday Mars 2026 : 83 failles corrigées, 2 zero-days — ce que votre PME doit faire

Patch Tuesday mars 2026 : Microsoft corrige 83 vulnérabilités dont 2 zero-days divulguées publiquement. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft février 2026 — correctifs de sécurité pour PME
Cybersécurité10 févr. 2026

Patch Tuesday Février 2026 : 67 failles corrigées, 3 zero-days — ce que votre PME doit faire

Patch Tuesday février 2026 : Microsoft corrige 67 vulnérabilités dont 3 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft janvier 2026 — correctifs de sécurité pour PME
Cybersécurité13 janv. 2026

Patch Tuesday Janvier 2026 : 135 failles corrigées, 5 zero-days — ce que votre PME doit faire

Patch Tuesday janvier 2026 : Microsoft corrige 135 vulnérabilités dont 5 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Audit de sécurité

Testez votre posture cyber en 2 min. Sans engagement.

Lancer l'audit

Votre PME est-elle vraiment protégée ?

Audit de votre posture de sécurité. Résultats sous 48h, sans engagement. Voir nos offres.
Tester ma sécurité
Photo Valentin
ParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasov