Record Patch Tuesday de Microsoft : 622 failles corrigées dont deux zero-days activement exploitées
Célestine Rochefour
Introduction : un record qui change les règles du jeu
Le 14 juillet 2026 restera comme une date charnière dans l’histoire de la sécurité informatique. Microsoft a publié son plus volumineux Patch Tuesday jamais enregistré, avec pas moins de 622 vulnérabilités corrigées. Ce chiffre est plus de trois fois supérieur au précédent record de juin, qui avoisinait les 200 correctifs. Parmi ces failles, deux zero-days sont d’ores et déjà exploitées activement par des attaquants, ce qui exige une réaction immédiate de la part des équipes de sécurité.
Cette publication massive soulève des questions fondamentales sur les stratégies de gestion des correctifs. Comment prioriser efficacement face à un tel volume de correctifs ? Quels sont les risques réels pour les infrastructures françaises ? Cet article vous guide à travers les éléments essentiels à connaître et les actions à mener sans délai.
Les deux zero-days à corriger en priorité absolue
CVE-2026-56164 : la faille SharePoint Server exploitée sans authentification
La première vulnérabilité activement exploitée concerne CVE-2026-56164, une faille d’élévation de privilèges dans SharePoint Server sur site. Ce qui la rend particulièrement dangereuse, c’est qu’elle permet à un attaquant non authentifié d’élever ses privilèges à distance, sans aucune interaction utilisateur. Microsoft attribue la découverte aux équipes d’intervention de Mandiant et à l’équipe FLARE de Google, ce qui suggère une identification au sein d’attaques en cours.
“Si vous utilisez SharePoint Server en auto-hébergement, c’est le correctif à appliquer en premier. Il n’y a pas de programme ESU pour prolonger le support.”
La situation est d’autant plus critique que le 14 juillet 2026 marque également la fin du support étendu pour SharePoint Server 2016 et 2019. Contrairement à Windows Server ou SQL Server, aucun programme Extended Security Updates (ESU) n’est disponible pour ces versions. Les organisations qui n’ont pas migré vers des versions plus récentes se retrouvent donc sans filet de sécurité.
Mesures d’atténuation recommandées :
- Appliquer le correctif de sécurité dès que possible
- Activer AMSI en mode complet sur le serveur SharePoint
- Vérifier les logs d’accès pour détecter d’éventuelles compromissions
- Planifier une migration vers SharePoint Subscription Edition
CVE-2026-56155 : la faille AD FS qui compromet la fédération d’identité
La deuxième vulnérabilité activement exploitée est CVE-2026-56155, une faille dans Active Directory Federation Services (AD FS). Bien qu’elle nécessite une authentification préalable, son impact est potentiellement dévastateur. L’équipe DART (Detection and Response Team) de Microsoft a été créditée de la découverte, ce qui indique une identification lors d’interventions sur des incidents réels.
AD FS est le service qui signe les jetons d’authentification pour l’ensemble du parc informatique. Une compromission de ce service permet à un attaquant de falsifier des identités et d’accéder à toutes les ressources protégées par la fédération. Comme le souligne un expert en sécurité :
“AD FS est le coffre-fort des clés numériques de l’entreprise. Une faille dans ce système expose potentiellement l’ensemble des applications et services qui lui font confiance.”
Points clés à retenir :
- Les deux zero-days ne figurent pas encore dans le catalogue KEV de CISA
- Microsoft les a déjà classifiées comme exploitées dans son propre indicateur
- Le score CVSS n’est pas un indicateur fiable de priorité ce mois-ci
La troisième faille zero-day et le casse-tête SharePoint
CVE-2026-50661 : un contournement BitLocker divulgué
Microsoft a également corrigé CVE-2026-50661, un contournement de BitLocker divulgué publiquement mais non exploité activement. Cette faille nécessite un accès physique à l’appareil, ce qui la classe en priorité moindre dans un contexte de correction massive. Elle s’inscrit dans une série de failles BitLocker découvertes depuis le début de l’année, dont les fameuses “bitskrieg” et “YellowKey”.
CVE-2026-55040 : le chaînon manquant de Pwn2Own
Rapid7 Labs a divulgué CVE-2026-55040, un contournement d’authentification JWT présenté lors du concours Pwn2Own Berlin. La note de sévérité fait débat : Rapid7 l’évalue à 5.3, tandis que ZDI (Zero Day Initiative) la classe à 9.1 comme critique. Cette divergence illustre parfaitement les limites du système de notation CVSS.
L’aspect le plus préoccupant : Rapid7 a enchaîné cette faille avec une vulnérabilité d’exécution de code à distance qui ne sera corrigée qu’en août 2026. Le correctif de juillet brise la chaîne d’attaque, mais ne résout pas complètement le problème. Les équipes de sécurité doivent donc rester vigilantes jusqu’à la publication du correctif complet.
Le nettoyage RC4 qui peut paralyser vos services
Comprendre la fin du support RC4 dans Kerberos
La mise à jour de juillet 2026 finalise le durcissement pluriannuel du protocole Kerberos contre l’utilisation de RC4. Microsoft supprime le commutateur de désactivation RC4DefaultDisablementPhase, qui servait de bouée de sauvetage depuis janvier 2026.
Après cette mise à jour, le chiffrement RC4 ne fonctionnera plus que pour les comptes explicitement configurés pour l’utiliser. Si un compte de service dans votre environnement continue de demander des tickets Kerberos RC4, l’authentification échouera immédiatement après l’installation du correctif.
Procédure recommandée :
- Auditer : utiliser les événements d’audit RC4 ajoutés par Microsoft en janvier
- Identifier : repérer les comptes de service qui utilisent encore RC4
- Corriger : changer les mots de passe des comptes concernés pour générer des clés AES
- Tester : vérifier que l’authentification fonctionne après rotation
- Appliquer : installer la mise à jour de juillet
“Cette mise à jour ne cause pas de brèche de sécurité, mais elle peut interrompre des services critiques. Un audit préalable est indispensable pour éviter les interruptions nocturnes.”
Analyse détaillée des correctifs par famille de produits
Le tableau suivant présente la répartition des 622 correctifs par famille de produits, avec les éléments les plus notables à retenir :
| Famille de produits | Nombre de CVE | Éléments à surveiller |
|---|---|---|
| Windows | 416 | Zero-day AD FS (CVE-2026-56155), contournement BitLocker (CVE-2026-50661), RCE VMSwitch à 9.9 (CVE-2026-57092), 5 RCE DHCP, 21 bugs pilotes NTFS/ReFS |
| Office | 82 | Comptés une fois (certaines sources rapportent 164 en incluant le doublon Office 2016) |
| Microsoft Edge | 46 | 21 correctifs propres à Microsoft (hors Chromium) |
| Outils développeur | 27 | Contournements de fonctionnalités de sécurité dans Visual Studio, VS Code, GitHub Copilot |
| SharePoint Server | 17 | Zero-day exploité (CVE-2026-56164), contournement Rapid7 (CVE-2026-55040), RCE critique à 9.8 (CVE-2026-50522) |
| Azure | 11 | Rien d’urgent signalé |
| SQL Server | 8 | Paire RCE (CVE-2026-54117 et CVE-2026-54118) à 8.8 |
| Defender | 5 | Deux RCE critiques |
| Exchange Server | 5 | XSS stocké dans Outlook Web Access à 9.6 (CVE-2026-55008) |
| Autres | 5 | Rien d’urgent signalé |
Sources : Microsoft Security Update Guide (total 622 CVE), ZDI (total 621 CVE).
Pourquoi ce record soudain ? Le rôle de l’IA dans la découverte des failles
L’impact de MDASH sur la détection
Microsoft avait prévenu dès le 9 juillet 2026 que les volumes de correctifs allaient augmenter. L’entreprise a expliqué que l’intelligence artificielle l’aide à découvrir davantage de vulnérabilités. Le système MDASH (Multi-model Agentic Scanning System) a déjà permis de trouver 16 failles lors du Patch Tuesday de mai 2026.
Bien que Microsoft n’ait pas précisé combien des 622 correctifs de juillet proviennent de cette pipeline automatisée, l’impact est indéniable. L’automatisation accélère la découverte des vulnérabilités, mais elle crée également un nouveau défi : celui de la priorisation.
Le paradoxe de l’automatisation
L’automatisation des correctifs a un effet pervers bien connu des experts en sécurité. Une fois qu’un correctif est publié, les attaquants peuvent analyser les différences entre l’ancienne et la nouvelle version du code pour identifier la vulnérabilité corrigée. Ils peuvent alors développer un exploit fonctionnel avant même que la plupart des organisations n’aient terminé leurs tests.
Cette réalité réduit considérablement la fenêtre de sécurité traditionnelle. Le fameux “attendez une semaine avant de patcher” n’est plus une option viable. Comme le résume un analyste :
“Le temps du Patch Tuesday est révolu. Nous sommes entrés dans l’ère du Patch Wednesday, où les attaquants exploitent les correctifs dès le lendemain de leur publication.”
Stratégie de priorisation face à un volume record
Pourquoi le score CVSS n’est plus fiable
Avec 622 correctifs dont une large part est classée Haute ou Critique, le simple score CVSS ne permet plus de prioriser efficacement. Les deux zero-days de ce mois illustrent parfaitement ce problème : aucun n’a un score supérieur à 9.0, mais les deux sont déjà exploités activement.
Critères de priorisation recommandés :
- Exploitation active : vérifier le flag “exploité” de Microsoft (priorité absolue)
- KEV (Known Exploited Vulnerabilities) : consulter le catalogue de CISA
- EPSS (Exploit Prediction Scoring System) : utiliser le score de probabilité d’exploitation
- Impact métier : évaluer l’importance des systèmes affectés
- Accessibilité réseau : prioriser les failles exploitables à distance sans authentification
Plan d’action en 5 étapes
- Identifier les systèmes critiques : SharePoint Server, AD FS, serveurs Exchange, contrôleurs de domaine
- Appliquer les correctifs zero-day : CVE-2026-56164 et CVE-2026-56155 en premier
- Auditer l’utilisation de RC4 : avant d’appliquer la mise à jour Kerberos
- Tester sur un sous-ensemble : valider la compatibilité avant déploiement large
- Déployer progressivement : par groupes de serveurs, en surveillant les incidents
Conclusion : une nouvelle ère pour la gestion des correctifs
Le Patch Tuesday record de juillet 2026 marque un tournant dans la gestion de la sécurité des systèmes d’information. Avec 622 vulnérabilités corrigées, dont deux zero-days activement exploitées, les équipes de sécurité doivent repenser leurs stratégies de priorisation.
Le score CVSS n’est plus un indicateur fiable face à un tel volume de correctifs. La priorisation doit désormais s’appuyer sur des indicateurs d’exploitation réelle (KEV, EPSS, flag Microsoft) plutôt que sur la seule sévérité théorique. L’IA, qui permet de découvrir davantage de failles, accélère également le rythme auquel les correctifs doivent être déployés.
Pour les organisations françaises, la vigilance est de mise. Les deux zero-days ciblent des infrastructures critiques : SharePoint Server et AD FS, deux composants largement déployés dans les entreprises hexagonales. La fin du support de SharePoint Server 2016 et 2019 ajoute une couche d’urgence supplémentaire pour les organisations qui n’ont pas encore migré.
Actions immédiates :
- Patcher les deux zero-days sans attendre
- Auditer l’utilisation de RC4 avant la mise à jour Kerberos
- Revoir vos processus de priorisation des correctifs
- Planifier la migration des versions obsolètes de SharePoint
Le volume de correctifs ne fera qu’augmenter. Il est temps d’adopter une approche basée sur les risques réels, pas sur les scores.