En avril 2026, trois zero-days de Microsoft Defender ont été rendus publics en 48 heures par un chercheur qui n'a pas pris la peine d'attendre Microsoft. BlueHammer, RedSun, UnDefend. Tous exploités le jour même. Tous dans le composant de sécurité que des centaines de millions de postes Windows considèrent comme leur première ligne de défense. Ce n'est pas un incident. C'est le signe d'un basculement : l'EDR est devenu une cible en soi, et l'attaquant a appris à exploiter non pas les failles autour de lui, mais les siennes. Voilà pourquoi s'appuyer uniquement sur Defender en 2026 est devenu intenable pour toute organisation qui se prend au sérieux.

La logique vicieuse des failles Defender

Reprenons la mécanique. BlueHammer, que Microsoft a corrigé le 15 avril via le Patch Tuesday, exploite un défaut de validation dans le service de remédiation. Quand Defender décide de supprimer un fichier malveillant, le service s'exécute en NT AUTHORITY\SYSTEM. En détournant cette opération via une jonction NTFS, l'attaquant redirige l'effacement sur un fichier système critique. L'antivirus devient l'outil de l'élévation de privilèges. RedSun et UnDefend poussent la logique plus loin : RedSun s'appuie sur les fichiers marqués cloud pour piéger la restauration privilégiée, UnDefend neutralise la capacité de Defender à se mettre à jour et à écrire ses définitions.

Le point commun de ces trois failles n'est pas un bug mémoire, ni une corruption classique. C'est un problème de conception : confier à un service privilégié des décisions qui dépendent de métadonnées qu'un attaquant non privilégié peut manipuler. Depuis dix ans, l'industrie sait que les opérations d'écriture privilégiées sur des chemins contrôlés par l'utilisateur sont une surface d'attaque. Defender a ignoré cette leçon pour des raisons de commodité — et les chercheurs viennent de le rappeler avec brutalité.

La concentration du risque : un seul EDR, une seule plateforme

Ce qui rend cette vague si préoccupante, c'est la concentration opérée par Microsoft ces trois dernières années. Defender n'est plus seulement l'antivirus gratuit du week-end. C'est le moteur de télémétrie qui alimente Defender for Endpoint, la plateforme Microsoft Defender XDR, et depuis ce mois-ci, le Security Copilot intégré à M365 E5. Tout est branché sur la même source. Si Defender est compromis, la chaîne entière est aveugle : les logs remontés sont partiels, les alertes sont manipulables, et l'automatisation Security Copilot prend des décisions à partir d'une vérité faussée.

Dans mes audits, je vois des organisations qui ont rationalisé leur stack sécurité sur Microsoft à 100 %. Parfois par contrainte budgétaire, parfois par promesse commerciale. Elles paient des licences E5, elles activent Defender for Cloud, elles branchent Sentinel. Et elles n'ont aucune redondance. Quand je leur demande ce qu'il se passe si Defender est lui-même compromis, personne n'a de réponse. Cette semaine, la question n'est plus théorique.

Ce que ça change pour les équipes sécu

Il ne s'agit pas de jeter Defender. L'outil est techniquement compétent, il couvre correctement une part majeure des menaces, et son intégration native avec Windows a un coût cognitif très faible pour les équipes IT. Le vrai problème est de le considérer comme suffisant seul sur les postes qui comptent. Un contrôleur de domaine, un serveur Exchange, un poste administrateur, un poste développeur qui a accès aux pipelines CI/CD : ces machines méritent une seconde couche EDR, fournie par un vendor non aligné avec Microsoft. Cela veut dire CrowdStrike, SentinelOne, Sekoia, Wazuh configuré proprement, peu importe. L'important est qu'un adversaire qui a réussi à piéger Defender trouve encore quelqu'un pour le surveiller.

Deuxième action : la tamper protection. C'est une fonctionnalité Defender qui empêche sa propre désactivation par un attaquant local, mais beaucoup d'organisations la désactivent par inadvertance via des GPO mal ajustées. Vérifier que la tamper protection est active sur chaque poste, et surveiller les désactivations comme des IOC de premier plan, fait partie du minimum opérationnel. Troisièmement, la surveillance des IOC comportementaux publiés par Qualys et la communauté pour RedSun et UnDefend. Sans patch, c'est la seule façon de détecter l'exploitation avant qu'elle ne franchisse la ligne SYSTEM.

Mon avis d'expert

On a assisté ce mois-ci à une démonstration rare : l'outil défensif qui devient l'outil offensif, non pas par un bug isolé, mais par trois failles de conception publiées en chaîne. Ce n'est pas un hasard. C'est le marqueur d'une industrie qui a sous-investi la sécurité de ses propres composants de sécurité, préférant pousser des features marketing (Copilot, XDR, cloud-delivered protection) plutôt que durcir les primitives sous-jacentes. Les organisations qui survivent aux prochains mois seront celles qui ont compris que la défense en profondeur n'est pas une option — c'est la réponse structurelle au fait que chaque couche, y compris l'EDR, peut et sera compromise.

Conclusion

Les zero-days Defender d'avril 2026 ne sont pas un accident isolé. Ils s'inscrivent dans une séquence continue où les outils censés protéger l'infrastructure deviennent eux-mêmes des points d'entrée — npm, MCP, Defender. Pour les RSSI qui doivent rendre des comptes en 2026, la question n'est plus « Defender nous protège-t-il ? » mais « que se passe-t-il si Defender est l'outil de l'attaque ? ». Ceux qui auront anticipé cette question auront un avantage structurel sur ceux qui continuent de faire confiance à une plateforme unique, aussi compétente soit-elle.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique. Posture EDR, défense en profondeur, audit Defender : Ayi NEDJIMI accompagne les organisations qui veulent reprendre le contrôle.

Prendre contact