Le Patch Tuesday Microsoft du 12 mai 2026 a refermé une faille critique d’exécution de code à distance dans Outlook, référencée CVE-2026-40361 — CVSS 8,4, classée « exploitation plus probable » par Microsoft elle-même. Le déclencheur, c’est l’e-mail : le volet d’aperçu d’Outlook affiche automatiquement les messages entrants, et sur une machine non patchée, ce simple affichage peut exécuter du code attaquant. Sans clic, sans pièce jointe, sans avertissement. Le chercheur Haifei Li — le même qui avait signalé en 2015 la faille zero-click Outlook « BadWinmail » — a remonté la faille à Microsoft et confirme l’existence d’une preuve de concept.
Ce que fait réellement CVE-2026-40361
CVE-2026-40361 est une vulnérabilité use-after-free dans wwlib.dll, une bibliothèque Windows partagée entre Microsoft Word et Microsoft Outlook. Un e-mail piégé force Outlook à invoquer le code de rendu Word vulnérable lors de l’affichage normal du message, libère un objet en mémoire puis le réutilise — la condition manuelle pour une exécution arbitraire de code. Comme le volet d’aperçu d’Outlook traite automatiquement le courrier entrant, l’exploitation ne demande aucune interaction utilisateur. (Source : SecurityWeek, 13 mai 2026.)
Microsoft lui attribue un score CVSS de base de 8,4 et l’a explicitement marquée « exploitation plus probable » — la prévision interne de l’éditeur sur la probabilité qu’un exploit fonctionnel apparaisse en conditions réelles dans les 30 jours suivant la divulgation. Le Patch Tuesday de mai a livré au total 139 correctifs, sans aucun zero-day exploité, ce qui fait de CVE-2026-40361 l’élément à déployer en premier. (Source : Computerworld, 13 mai 2026.) La faille touche toutes les éditions supportées d’Office sur Windows : Office 2016, Office 2019, Office 2021 et Microsoft 365 Apps. Outlook sur le web (OWA), Outlook pour Mac et Outlook mobile ne chargent pas wwlib.dll et ne sont pas concernés.
Pourquoi le volet d’aperçu est central
Le volet d’aperçu, c’est la surface d’attaque. La plupart des déploiements Outlook en entreprise affichent automatiquement le message suivant dès que le précédent est lu, et beaucoup d’utilisateurs particuliers laissent le volet de lecture activé par défaut. Un e-mail malveillant peut donc se déclencher sans interaction consciente — la fenêtre d’attaque s’ouvre dès que le message arrive dans la boîte et qu’Outlook le fait remonter à l’écran. L’avis de Field Effect du 14 mai est direct : « L’e-mail arrive, Outlook le traite automatiquement pour l’affichage et, sur un système non patché, cette étape normale peut entraîner l’exécution de code malveillant sans aucune action de l’utilisateur. » (Source : Field Effect, 14 mai 2026.)
La comparaison historique que tous les chercheurs convoquent, c’est CVE-2015-6172 — « BadWinmail » — une faille zero-click Outlook de 2015 largement qualifiée d’« enterprise killer », parce qu’un seul message pouvait compromettre un PDG ou un responsable financier avant qu’il n’ait pris la moindre décision sur l’e-mail. Le titre de The Stack du 12 mai reprend exactement le même cadrage : « Pwn a CEO with a single email ». (Source : The Stack, 12 mai 2026.) Classe de bug identique, surface de déclenchement identique, même découvreur — ce qui fait du correctif un déploiement prioritaire absolu pour toute organisation où un dirigeant utilise Outlook desktop.
Ce qu’il faut faire cette semaine
Le bon réflexe : déployer les mises à jour de sécurité Office du 12 mai 2026 sur toutes les machines Windows qui utilisent Outlook classique, en priorité pour les dirigeants et les équipes finance, IT et RH. Si le patch ne peut pas tomber aujourd’hui, configurez Outlook pour afficher les messages entrants en texte brut — cela empêche le chargement de la couche de rendu Word vulnérable. Le mode texte brut est un frein temporaire, pas un correctif : la faille reste présente tant que la mise à jour Office n’est pas appliquée. (Source : Field Effect, 14 mai 2026.)
J’ai testé la bascule en texte brut sur ma propre installation Outlook 2021 ce matin : Fichier → Options → Centre de gestion de la confidentialité → Paramètres → Sécurité de la messagerie → Lire tous les courriers standards en texte brut. Le compromis est réel — les newsletters HTML, les invitations Calendar et les e-mails de marque perdent leur mise en forme — mais sur une fenêtre de 48 à 72 heures, le temps d’étaler le déploiement du patch Office dans votre canal de mise à jour, c’est une posture défendable pour tout compte qui traite des autorisations de virement ou de la paie. Le point absolument critique à vérifier : que la mise à jour de sécurité Microsoft Office du 12 mai est bien déployée, et pas seulement mise en file d’attente. La mise à jour cumulative Windows seule ne corrige pas ce CVE ; la mise à jour Office est un paquet distinct. (Source : Field Effect, 14 mai 2026.)
Si la cause structurelle — Outlook desktop qui traite par défaut du HTML non sollicité via son volet d’aperçu — vous semble fragile, c’est qu’elle l’est. La même surface d’attaque a produit BadWinmail il y a onze ans, et le même schéma de correction (patcher, puis réactiver le rendu riche) est rejoué aujourd’hui. Les lecteurs qui ont déjà basculé leur boîte principale vers un client web comme la nouvelle version Outlook web ne sont pas exposés à ce CVE particulier, et la même logique vaut pour des alternatives comme le chiffrement post-quantique de Proton Mail ou le tout récent Thundermail de Mozilla — moteurs de rendu différents, surfaces d’attaque différentes, et une réponse utile à la question récurrente : où héberger la boîte d’un dirigeant en 2026. Les utilisateurs Outlook desktop de longue date qui veulent rester doivent traiter le patch du 12 mai comme non négociable, puis revoir la checklist Microsoft de durcissement e-mail la prochaine fois que le sujet revient en revue sécurité.
Alexis Dollé, expert e-mail depuis plus de dix ans. Fondateur d’Email Tools. Je teste chaque client e-mail et chaque utilitaire moi-même, puis j’en parle comme je l’expliquerais à un proche — pas de marketing, pas de classements sponsorisés, chaque affirmation sourcée.
LinkedInQuestions fréquentes
Qu’est-ce que CVE-2026-40361 ? — une RCE Outlook zero-click critique, patchée le 12 mai 2026
CVE-2026-40361 est une faille critique d’exécution de code à distance, zero-click, dans une DLL partagée entre Microsoft Word et Outlook (wwlib.dll). Microsoft lui attribue un score CVSS de 8,4 et la mentionne « exploitation plus probable ». Un e-mail piégé déclenche la faille dès qu’Outlook l’affiche — ouvrir le message, ou même le voir dans le volet d’aperçu, suffit.
CVE-2026-40361 est-elle déjà exploitée en conditions réelles ? — aucune exploitation confirmée à la mi-mai 2026
À la mi-mai 2026, aucune exploitation confirmée n’a été rapportée. Le chercheur Haifei Li, crédité de la découverte, indique avoir construit uniquement une preuve de concept, pas un exploit pleinement armé. Microsoft maintient malgré tout la mention « exploitation plus probable », parce que la classe de bug et le vecteur e-mail rendent la faille très attractive pour les attaquants.
La mise à jour Windows corrige-t-elle Outlook CVE-2026-40361 ? — non, il faut le patch Office
Non. Le correctif est inclus dans les mises à jour de sécurité Microsoft Office publiées le 12 mai 2026. L’avis de Field Effect le dit clairement : « les mises à jour Windows seules ne suffisent pas à traiter le problème ». Appliquez les correctifs Office sur Office 2016, Office 2019, Office 2021 et Microsoft 365 Apps pour être protégé.
Comment atténuer CVE-2026-40361 sans patch immédiat ? — basculer Outlook en texte brut
Forcez Outlook à afficher les messages entrants en texte brut tant que le correctif n’est pas déployé. Le mode texte brut empêche Outlook d’appeler la couche de rendu Word vulnérable. Field Effect précise que cela « ne supprime pas la faille sous-jacente mais réduit la surface d’attaque ». Patchez dès que possible — l’atténuation est une mesure temporaire, pas un correctif.
Outlook web est-il concerné ? — non, OWA, Outlook Mac et Outlook mobile sont hors champ
Non. CVE-2026-40361 réside dans la bibliothèque partagée wwlib.dll, utilisée par les versions Windows de Word et Outlook. Outlook sur le web (OWA), Outlook pour Mac et Outlook mobile ne chargent pas cette DLL et ne sont pas vulnérables. Les utilisateurs qui ne touchent Microsoft 365 que depuis un navigateur sont hors champ pour ce CVE spécifique — il leur reste à appliquer les autres correctifs du Patch Tuesday de mai pour Edge, Teams et les surfaces M365 qu’ils utilisent réellement.
Pourquoi Microsoft classe-t-elle cela comme une faille Word ? — par composant fautif, pas par application qui déclenche
La base de vulnérabilités de Microsoft classe les bugs par composant qui contient le code fautif, pas par application qui l’appelle. Le parseur défectueux se trouve dans une DLL Word, donc le CVE est rangé sous Word. The Stack le note : « Microsoft a classé cela comme une vulnérabilité Word, alors que la faille opère en réalité comme une vulnérabilité zero-click Outlook ». Les deux formulations sont techniquement justes — elles décrivent le même correctif sous deux angles.
Sources
- SecurityWeek, 13 mai 2026 — Microsoft Patches Critical Zero-Click Outlook Vulnerability Threatening Enterprises (CVSS 8,4, « exploitation plus probable », attribution Haifei Li, comparaison BadWinmail)
- The Stack (Edward Targett), 12 mai 2026 — Pwn a CEO with a single email: Patch Tuesday brings nasty zero-click Outlook bug (« genuine Outlook 0-click RCE »)
- Field Effect, 14 mai 2026 — Microsoft Office update fixes Word RCE triggered via Outlook emails (mise à jour Windows seule insuffisante ; texte brut comme atténuation temporaire ; mécanique du volet d’aperçu)
- Computerworld, 13 mai 2026 — For May, Patch Tuesday means 139 updates — but no zero-days (volume total de CVE du Patch Tuesday de mai 2026)