Si vous administrez des serveurs Exchange et que vos utilisateurs vous remontent des erreurs bizarres sur OWA (Content Security Policy, boutons bloqués, problème d’impression de calendrier), pas de panique : vous n’avez pas été piraté, c’est Microsoft qui a serré la vis un peu trop fort.
Dans cet article, on fait le point sur l’erreur CSP script-src-attr 'none', le rapport avec la faille CVE-2026-42897, et ce qu’il faut faire.
Le Symptôme
Dans la console développeur du navigateur (F12) ou via un pop-up d’erreur, les utilisateurs d’Outlook Web App (OWA) ou de l’EAC (Exchange Admin Center) voient ce message :
Executing inline event handler violates the following Content Security Policy directive ‘script-src-attr ‘none ». Either the ‘unsafe-inline’ keyword, a hash (‘sha256-…’), or a nonce (‘nonce-…’) is required to enable inline execution.
Conséquences directes pour les utilisateurs :
- Impossible d’imprimer les calendriers depuis OWA.
- Les images intégrées (inline) dans certains e-mails refusent de s’afficher.
- Certaines extensions de navigateur (bloqueurs de pubs, traducteurs) ou add-ins Exchange provoquent des erreurs 500 ou des blocages complets.
Pourquoi cette erreur apparaît maintenant ? (La Cause)
Pour contrer l’exploitation active de la vulnérabilité CVE-2026-42897 (une faille critique de type XSS / Spoofing sur OWA), Microsoft a déployé à la mi-mai une mesure d’atténuation d’urgence via le service EEMS (Exchange Emergency Mitigation Service).
Cette atténuation automatique (identifiée sous le code M2.1.x) vient injecter une règle de réécriture d’URL au niveau d’IIS pour forcer un en-tête Content Security Policy (CSP) ultra-restrictif.
La directive incriminée, script-src-attr 'none', bloque purement et simplement l’exécution de tout script écrit directement dans le HTML (les attributs du style onclick="..."). Le problème, c’est que le code d’Exchange lui-même (et de beaucoup d’extensions) utilise encore ces pratiques. Le navigateur bloque donc des actions légitimes.
Comment résoudre ou contourner le problème ?
1. Côté Utilisateur : La solution temporaire
En attendant un vrai Security Update (SU) propre de la part de Microsoft qui réécrira le code d’OWA, la seule solution viable à 100 % pour les utilisateurs bloqués est d’utiliser le client lourd Outlook Desktop, qui n’utilise pas le moteur de rendu web impacté par cette règle CSP.
Si le problème ne touche qu’un seul utilisateur, demandez-leur de tester en navigation privée sans extensions. Très souvent, c’est une extension de navigateur qui injecte du code et déclenche la politique CSP d’Exchange.
2. Côté Admin : Faut-il désactiver la mitigation ?
Techniquement, il est possible de désactiver cette règle via le script de gestion d’EEMS (MitigationServiceConfig.ps1) ou en modifiant la configuration IIS.
🚨 Notre recommandation : Ne le faites pas. La faille CVE-2026-42897 est critique et activement exploitée par des acteurs malveillants pour voler des jetons de session. Désactiver la protection pour récupérer l’impression des calendriers expose l’infrastructure à un risque majeur.
En résumé
C’est un comportement « normal » (un Known Issue assumé par Microsoft) lié à une protection d’urgence. Il faut prendre son mal en patience et attendre que Redmond sorte un correctif cumulatif (CU) ou de sécurité (SU) qui gère proprement le CSP sans casser l’expérience utilisateur.
Et vous, vous avez constaté ce blocage sur vos parcs Exchange ? Des add-ins particuliers qui plantent ? N’hésitez pas à partager vos retours en commentaires !