Publié le 2025-10-05 11:02:00. Microsoft renforce la sécurité de ses plateformes en limitant l’affichage des images SVG directement dans les courriels pour contrer les menaces de phishing et de logiciels malveillants, tout en garantissant le support des fichiers joints.
- Microsoft ne rendra plus visibles les images SVG intégrées dans le corps des e-mails sur Outlook pour le Web et la nouvelle version Windows.
- Cette mesure vise à réduire les risques de sécurité liés aux attaques par script intersites (XSS) et à l’exploitation de ces formats.
- Les pièces jointes au format SVG continueront d’être entièrement prises en charge et accessibles aux utilisateurs.
Les cybercriminels exploitent de plus en plus les fichiers SVG, un format d’image vectorielle, pour diffuser des malwares et monter des pages d’hameçonnage. Face à cette menace croissante, Microsoft modifie la manière dont Outlook gère ce type de contenu.
Dans une communication officielle, le géant technologique a annoncé que les images SVG intégrées ne seraient plus affichées dans Outlook pour le Web ni dans la nouvelle application Outlook pour Windows. Les utilisateurs verront désormais des espaces vides là où ces images étaient auparavant rendues. Cette modification a pour objectif de « mitiger les risques de sécurité potentiels, tels que les attaques par script intersites (XSS) ».
Microsoft souligne que cette décision aura un impact limité, moins de 0,1 % des images dans Outlook utilisant cette méthode d’intégration. La société maintient le support des fichiers SVG lorsqu’ils sont envoyés en tant que pièces jointes classiques. Cette approche s’inscrit dans une stratégie plus large de l’entreprise visant à restreindre les fonctionnalités potentiellement exploitables par les attaquants.
Au cours des dernières années, Microsoft a pris des mesures similaires pour sécuriser ses produits. Plus tôt en 2025, Outlook Web et Outlook pour Windows ont commencé à bloquer les fichiers .Library-MS et .Search-MS, qui avaient été exploités dans des attaques ciblées contre des entités gouvernementales depuis au moins 2022. L’entreprise a également renforcé les protections relatives aux macros et aux compléments dans ses logiciels de productivité, notamment en bloquant les macros VBA par défaut, en protégeant les macros Excel 4.0, en désactivant les compléments XLL non fiables et les contrôles ActiveX, et en supprimant la prise en charge de VBScript dans Microsoft 365 et Office 2024.
La liste complète des formats de fichiers désormais bloqués est disponible dans la documentation officielle de Microsoft.