Patch Tuesday & ShadyPanda : Votre PME face à la double menace.
- Mis en ligne le
Jantien Rault
CEO Fondateur POWER ITI
Le 9 décembre 2025, c’est le Patch Tuesday : Microsoft publie ses mises à jour de sécurité mensuelles. Mais ce mois-ci, un autre danger vient s’ajouter : une campagne massive d’extensions de navigateur piégées qui transforme des outils apparemment inoffensifs en logiciels espions sur Chrome et Edge. Pour une PME, le cocktail est explosif : un ordinateur non mis à jour + un navigateur compromis = vos comptes Microsoft 365 sont en danger.
Aujourd’hui, la vraie question n’est plus “est-ce qu’on a reçu une alerte de sécurité ?”. C’est plutôt : “avons-nous réduit notre surface d’attaque AVANT que l’alerte n’arrive ?“. Dans cet article, nous allons vous expliquer simplement ce qu’il faut faire concernant les mises à jour de sécurité, comment maîtriser les extensions de navigateur dangereuses, et vous donner une liste d’actions concrètes adaptées aux PME.
Sommaire
- 1) Patch Tuesday Microsoft (09/12/2025) : pourquoi et comment agir aujourd’hui
- 2) Campagne “ShadyPanda” : comprendre la menace des extensions malveillantes
- 3) Chrome 143 : la mise à jour de sécurité (publiée le 2 décembre)
- 4) Microsoft Edge : les correctifs de sécurité à surveiller
- 5) Azure : deux nouveautés pour améliorer votre infrastructure cloud
- 6) Check-list pratique : 10 actions concrètes pour sécuriser votre PME
1) Patch Tuesday Microsoft (09/12/2025) : pourquoi et comment agir aujourd’hui
C’est quoi le Patch Tuesday ?
Chaque deuxième mardi du mois, Microsoft publie un ensemble de correctifs de sécurité pour ses produits (Windows, Office, serveurs, etc.). C’est ce qu’on appelle le “Patch Tuesday“. Ces correctifs bouchent des failles de sécurité découvertes par Microsoft ou signalées par des chercheurs.
Les pirates informatiques connaissent ces failles dès leur publication. Si vous ne mettez pas à jour rapidement, ils peuvent les exploiter pour s’introduire dans vos systèmes. C’est comme laisser la clé sous le paillasson après avoir annoncé publiquement qu’elle y est.
Microsoft publie tous les détails via son Security Update Guide (MSRC). C’est la source officielle pour comprendre quels produits sont concernés, quel est le niveau de gravité, et comment organiser votre déploiement.
La stratégie pour une PME : patcher vite, mais intelligemment
Dans une petite ou moyenne entreprise, vous n’avez pas forcément une équipe IT de 20 personnes. La meilleure approche est donc : agir rapidement, mais avec méthode. On ne déploie pas en aveugle sur tous les postes en même temps.
Action Poweriti : méthode de déploiement par anneaux
Étape 1 : L’anneau pilote (groupe test)
- Sélectionnez 5 à 10 postes “représentatifs” de votre parc (différents services, différentes configurations)
- Ajoutez éventuellement 1 poste de direction (si la personne accepte d’être “cobaye”)
- Installez les mises à jour sur ces postes en priorité
Étape 2 : Les serveurs critiques
- Priorité absolue : serveurs exposés sur Internet (VPN, RDS, serveurs web)
- Puis : serveurs d’identité (Active Directory, synchronisation Entra ID)
- Enfin : serveurs applicatifs métiers
Étape 3 : Vérification post-installation
- Vérifiez que l’antivirus/EDR fonctionne toujours
- Testez l’impression (souvent impactée par les mises à jour)
- Vérifiez l’accès à Microsoft 365 et au SSO
- Testez la connexion VPN
- Validez le fonctionnement des applications métiers principales
Étape 4 : Déploiement généralisé
Si tout va bien après 24-48h sur l’anneau pilote, déployez sur l’ensemble du parc.
2) Campagne “ShadyPanda” : comprendre la menace des extensions malveillantes
Qu’est-ce que ShadyPanda ?
“ShadyPanda” est le nom donné à une campagne d’attaque massive découverte récemment. Elle touche environ 4,3 millions d’utilisateurs de Chrome et Edge dans le monde. Le principe est simple mais redoutable : des extensions de navigateur apparemment inoffensives (gestionnaires d’onglets, outils de productivité, etc.) ont été mises à jour en silence pour devenir des logiciels espions.
Comment ça fonctionne concrètement ?
1. Installation initiale (phase innocente)
Un employé installe une extension populaire qui semble légitime. À ce stade, l’extension fait vraiment ce qu’elle promet : gérer les onglets, changer le fond d’écran, etc.
2. La mise à jour piégée (phase critique)
Plusieurs mois plus tard, l’éditeur de l’extension (parfois racheté par des pirates) pousse une mise à jour. Cette mise à jour ajoute du code malveillant. Le navigateur installe automatiquement cette mise à jour sans prévenir l’utilisateur.
3. Le vol de données (phase d’exploitation)
L’extension modifiée commence à :
- Voler les cookies de session (ce qui permet d’usurper votre identité sans connaître votre mot de passe)
- Enregistrer tout ce que vous tapez sur certains sites
- Rediriger votre navigation vers des sites malveillants
- Accéder à vos données sensibles (emails, CRM, facturation, drive…)
Quel impact pour une PME ?
Le scénario le plus dangereux : un collaborateur dont le navigateur est compromis se connecte à Microsoft 365. L’extension vole sa session active. Les pirates peuvent alors :
- Accéder à tous ses emails et contacts
- Consulter et télécharger les documents sur SharePoint/OneDrive
- Utiliser ce compte comme point d’entrée pour attaquer d’autres services (CRM, facturation, outils métiers)
- Envoyer des emails en son nom pour piéger d’autres collaborateurs (phishing interne)
Action Poweriti : protection immédiate contre les extensions malveillantes
Action 1 : Passer en mode “liste blanche” (allowlist)
Au lieu de “tout autoriser sauf ce qui est interdit”, inversez la logique : “tout bloquer sauf ce qui est approuvé”. Avec les stratégies de groupe (GPO) ou Microsoft Intune, vous pouvez :
- Bloquer l’installation de toute nouvelle extension par défaut
- N’autoriser qu’une liste précise d’extensions validées par votre équipe IT
Action 2 : Faire un audit du parc existant
Pour chaque poste, vérifiez les extensions installées :
- Qui est l’éditeur ? (méfiez-vous des noms génériques)
- Quelles sont les permissions demandées ? (lecture de toutes les pages web = suspect)
- Quand a-t-elle été installée ?
- Combien d’utilisateurs dans le monde ? (une extension à 50 téléchargements peut être dangereuse)
- Est-elle vraiment utile au travail quotidien ?
Action 3 : En cas de doute = suppression + réinitialisation
Si une extension vous semble suspecte :
- Supprimez-la immédiatement
- Déconnectez le collaborateur de tous ses comptes dans le navigateur
- Changez les mots de passe des comptes sensibles (M365, CRM, banque, etc.)
- Révoquez les sessions actives dans l’admin Microsoft 365
Action 4 : Extensions encore actives à surveiller
Selon les dernières informations, certaines extensions ShadyPanda sont encore disponibles sur le Microsoft Edge Add-ons store, notamment “WeTab” avec 3 millions d’installations. Si vous la trouvez sur un poste, supprimez-la.
3) Chrome 143 : la mise à jour de sécurité (publiée le 2 décembre)
Les chiffres de la mise à jour
Google a publié Chrome 143 le 2 décembre 2025. Cette version corrige 13 vulnérabilités de sécurité, dont plusieurs classées “haute gravité”.
Le piège dans les environnements professionnels
Voici ce qui se passe souvent dans les entreprises :
1. Chrome télécharge automatiquement la mise à jour en arrière-plan
2. Mais la mise à jour n’est active qu’après un redémarrage du navigateur
3. Les utilisateurs laissent Chrome ouvert pendant des jours/semaines sans le redémarrer
4. Résultat : ils croient être protégés, mais utilisent toujours la version vulnérable
Comment vérifier et forcer la mise à jour
Action Poweriti pour Chrome
Vérifier la version actuelle :
- Ouvrez Chrome
- Tapez dans la barre d’adresse :
chrome://settings/help - Vérifiez que le numéro de version commence par “143.x.x.x”
Mettre en place une politique de redémarrage :
- Configurez une stratégie GPO ou Intune pour forcer le redémarrage de Chrome après les mises à jour
- Définissez une notification visible pour l’utilisateur (“Chrome doit redémarrer pour appliquer des correctifs de sécurité”)
- En dernier recours : planifiez un redémarrage automatique la nuit ou le week-end
Surveiller via votre outil RMM :
Si vous utilisez un outil de gestion à distance (RMM), ajoutez un contrôle qui vérifie :
- La version de Chrome installée sur chaque poste
- La date du dernier redémarrage du navigateur
4) Microsoft Edge : les correctifs de sécurité à surveiller
Edge suit les correctifs Chromium
Microsoft Edge est basé sur le moteur Chromium (le même que Chrome). Cela signifie que quand Google corrige des failles dans Chrome, Microsoft doit intégrer ces correctifs dans Edge. Généralement, il y a un léger décalage de quelques jours.
Microsoft publie des notes de version dédiées aux correctifs de sécurité sur son site Microsoft Learn. Ces notes détaillent les CVE (identifiants de vulnérabilités) corrigées et le calendrier de déploiement selon les canaux (Stable, Beta, Dev).
L’objectif pragmatique pour une PME
Pas besoin de devenir expert en CVE. Votre objectif est simple : ne pas laisser Edge dériver. Les problèmes typiques :
- Des ordinateurs allumés en permanence sans jamais être redémarrés
- Des profils utilisateurs qui ne ferment jamais Edge (le navigateur tourne en tâche de fond)
- Des mises à jour bloquées par une vieille stratégie de groupe oubliée
Action Poweriti pour Edge
- Vérifiez la version Edge : Menu (…) → Aide et commentaires → À propos de Microsoft Edge
- Assurez-vous que les mises à jour automatiques sont activées
- Même principe que Chrome : prévoyez des redémarrages réguliers du navigateur
- Si vous gérez Edge via Intune, activez les stratégies de mise à jour automatique
5) Azure : deux nouveautés pour améliorer votre infrastructure cloud
Note : Ces fonctionnalités Azure ne sont pas spécifiquement liées au 9 décembre 2025, mais ce sont des annonces récentes utiles pour certaines PME utilisant Azure.
Azure Files : le “zonal placement”
Le “zonal placement” pour Azure Files permet de contrôler dans quelle zone de disponibilité vos fichiers sont stockés. C’est un sujet technique, mais utile si vous avez plusieurs sites, des applications sensibles à la latence, ou des contraintes de localisation.
Imaginez un datacenter Azure avec 3 zones (1, 2, 3) pour la redondance. Avant, vous ne pouviez pas choisir précisément la zone. Maintenant, vous pouvez le faire selon proximité applicative ou exigences de résilience.
Azure SQL Managed Instance : authentification Windows avec Entra ID
Cette fonctionnalité permet de conserver des scénarios d’authentification Windows tout en s’appuyant sur Microsoft Entra ID, ce qui facilite certaines migrations “lift and shift” et garde les bénéfices de sécurité (MFA, Conditional Access, audit).
Si une application existante repose sur l’authentification Windows intégrée, cela peut éviter des changements lourds côté applicatif lors d’une migration vers Azure SQL Managed Instance.
6) Check-list pratique : 10 actions concrètes pour sécuriser votre PME
Voici les actions à mettre en place aujourd’hui même, classées par priorité :
- 1. Consulter le Patch Tuesday sur le site MSRC : Identifiez les correctifs critiques/RCE qui concernent vos produits.
- 2. Déployer en anneau pilote : Commencez par 5-10 postes, testez 24-48h, puis déployez largement si tout est OK.
- 3. Vérifier l’antivirus après mise à jour : Confirmez que l’EDR/antivirus est actif et à jour.
- 4. Activer la liste blanche pour les extensions : Bloquez toute installation d’extension sauf celles validées.
- 5. Auditer les extensions existantes : Éditeur, permissions, utilité. Supprimez ce qui est douteux.
- 6. Forcer Chrome 143 + redémarrage : Vérifiez la version et imposez le redémarrage du navigateur.
- 7. Vérifier la version Edge : Même démarche, mises à jour auto activées, redémarrages réguliers.
- 8. Renforcer M365 contre le vol de session : Conditional Access, MFA, appareils conformes.
- 9. Documenter une procédure “poste suspect” : Isolement, révocation sessions, rotation mots de passe, scan complet.
- 10. Planifier un point mensuel “hygiène IT” : patchs, navigateurs, accès, sauvegardes.
Bibliographie / Sources
- Microsoft Security Response Center (MSRC) – Security Update Guide :
https://msrc.microsoft.com/update-guide/fr-FR - Chrome Releases (Google) – Stable Channel Update for Desktop (02/12/2025) :
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop.html - Microsoft Learn – Release notes for Microsoft Edge Security Updates :
https://learn.microsoft.com/fr-fr/deployedge/microsoft-edge-relnotes-security - Campagne “ShadyPanda” (synthèses) :
- Tom’s Guide – “This spyware campaign can turn your browser extensions into malware” :
https://www.tomsguide.com/computing/malware-adware/this-spyware-campaign-can-turn-your-browser-extensions-into-malware-how-to-stay-safe - TechRadar Pro – “4.3 million have installed this malicious browser extension…” :
https://www.techradar.com/pro/security/4-3-million-have-installed-this-malicious-browser-extension-on-chrome-and-edge-heres-how-to-check - The Hacker News – “ShadyPanda Turns Popular Browser Extensions…” :
https://thehackernews.com/2025/12/shadypanda-turns-popular-browser.html
- Tom’s Guide – “This spyware campaign can turn your browser extensions into malware” :
- Microsoft Learn – Placement zonal pour les partages de fichiers Azure (Azure Files) :
https://learn.microsoft.com/fr-fr/azure/storage/files/zonal-placement - Microsoft Learn – Windows Authentication for Microsoft Entra principals on Azure SQL Managed Instance (aperçu + docs) :
Note de mise à jour
Cet article a été corrigé et enrichi le 9 décembre 2025 pour refléter les informations les plus récentes et corriger certaines imprécisions de dates concernant les annonces Azure et la sortie de Chrome 143.
🔹 L’IT, c’est mon métier : infogérance, cybersécurité et optimisation des systèmes.
🔹 Les PME, c’est mon terrain de jeu : des solutions sur-mesure, adaptées aux vrais besoins des entreprises.
🔹 Ma vision : simplifier l’informatique pour qu’elle devienne un atout, pas un casse-tête.
