Record de 622 failles corrigées par Microsoft : deux zero-days déjà exploités et des leçons pour votre sécurité
Apollinaire Monteclair
En juillet 2026, Microsoft a publié son Patch Tuesday le plus conséquent de l’histoire, avec 622 vulnérabilités corrigées. Ce chiffre, plus de trois fois supérieur au précédent record de juin (environ 200 failles), marque un tournant dans la gestion des correctifs de sécurité. Mais au-delà du volume, ce sont deux failles zero-day déjà activement exploitées qui doivent retenir toute votre attention. Cet article vous guide à travers les correctifs prioritaires, les risques réels et les actions concrètes à mener pour protéger votre infrastructure.
Pourquoi ce Patch Tuesday bat tous les records : l’impact de l’IA sur la détection
Microsoft a prévenu les administrateurs cinq jours avant la publication, annonçant un volume élevé de mises à jour grâce à l’intelligence artificielle. Son système MDASH (Multi-Model Agentic Scanning) a découvert 16 failles lors du Patch Tuesday de mai 2026, et une partie significative des 622 correctifs de juillet provient de cette automatisation.
Cette approche transforme la cybersécurité : les outils d’IA permettent de détecter davantage de vulnérabilités, mais aussi d’accélérer le cycle de publication. En conséquence, les attaquants peuvent désormais analyser les correctifs dès leur sortie pour développer des exploits avant que les équipes IT aient fini leurs tests. Le traditionnel « délai d’une semaine » avant de patcher n’est plus viable.
Les chiffres clés de ce Patch Tuesday record
| Catégorie | Nombre de CVEs | Points d’attention |
|---|---|---|
| Windows | 416 | Deux zero-days exploités, un RCE VMSwitch à 9.9, cinq RCE DHCP, 21 bugs de pilotes NTFS/ReFS |
| Office | 82 | Comptés une fois (liste dupliquée pour Office 2016) |
| Microsoft Edge | 46 | 21 correctifs propres à Microsoft, le reste lié à Chromium |
| Outils développeurs | 27 | Contournements de fonctionnalités de sécurité dans Visual Studio, VS Code et GitHub Copilot |
| SharePoint Server | 17 | Zero-day exploité (CVE-2026-56164) et contournement de chaîne (CVE-2026-55040) |
| Azure | 11 | Rien d’urgent signalé |
| SQL Server | 8 | Deux RCE (CVE-2026-54117 et CVE-2026-54118, score 8.8) |
| Defender | 5 | Deux RCE critiques |
| Exchange Server | 5 | XSS stocké dans Outlook Web Access (CVE-2026-55008, score 9.6) |
| Autres | 5 | Rien d’urgent signalé |
Source : Microsoft Security Update Guide et ZDI (Zero Day Initiative)
Les deux zero-days à corriger en priorité
Deux vulnérabilités sont déjà activement exploitées par des attaquants. Toutes deux sont des élévations de privilèges, et non des exécutions de code à distance (RCE) spectaculaires. Pourtant, leur impact potentiel est considérable.
CVE-2026-56164 : la faille SharePoint qui ne nécessite aucune interaction
Cette vulnérabilité dans SharePoint Server sur site permet à un attaquant non authentifié d’élever ses privilèges à distance, sans aucune interaction de l’utilisateur. Microsoft crédite les équipes d’intervention de Mandiant et l’équipe FLARE de Google, ce qui indique une découverte lors d’attaques actives.
« Si vous exécutez SharePoint en auto-hébergement, c’est le correctif à appliquer en premier. Et il y a une deuxième urgence : aujourd’hui marque également la fin du support étendu pour SharePoint Server 2016 et 2019. Contrairement à Windows Server ou SQL Server, aucun programme ESU (Extended Security Updates) payant n’est disponible. »
En complément du correctif, Microsoft recommande d’activer AMSI (Antimalware Scan Interface) en mode complet sur le serveur pour atténuer l’attaque. SharePoint est devenu une cible de choix depuis la chaîne d’exploitation ToolShell qui a touché des serveurs non patchés en 2025.
CVE-2026-56155 : la faille AD FS qui menace les tokens d’authentification
Cette vulnérabilité dans Active Directory Federation Services (AD FS) permet à un attaquant déjà authentifié d’élever ses privilèges localement via des contrôles d’accès faibles. Microsoft crédite sa propre unité DART (Detection and Response Team).
AD FS est le service qui signe les tokens d’authentification pour l’ensemble de l’infrastructure. Une faille « locale » sur ce serveur peut compromettre toute la chaîne de confiance. Microsoft n’a pas précisé quels privilèges sont accordés ni comment les attaquants exploitent cette vulnérabilité.
« Aucune de ces deux failles n’est encore listée dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA. Microsoft les a déjà marquées comme exploitées dans son propre indice d’exploitabilité. N’attendez pas une inscription KEV pour agir. »
Un troisième zero-day et une chaîne d’exploitation qui arrive en août
CVE-2026-50661 : un contournement BitLocker (non exploité)
Ce troisième zero-day a été divulgué publiquement mais n’est pas activement exploité. Il s’agit d’un contournement de BitLocker nécessitant un accès physique à l’appareil. À corriger, mais sans urgence immédiate. Cette faille s’inscrit dans une série de contournements BitLocker (bitskrieg, YellowKey) observés cette année.
CVE-2026-55040 : le contournement JWT de Rapid7
Rapid7 Labs a divulgué CVE-2026-55040, un contournement d’authentification JWT présenté lors du concours Pwn2Own Berlin. La note de gravité varie selon les sources : Rapid7 évalue à 5.3 (moyen), tandis que ZDI le considère comme critique à 9.1.
L’impact est clair : Rapid7 a enchaîné cette faille à une autre vulnérabilité d’exécution de code à distance (RCE) pour obtenir un RCE non authentifié sur un serveur vulnérable. La partie RCE n’est pas encore corrigée : Microsoft prévoit un correctif en août 2026. Le correctif de juillet brise donc la chaîne d’exploitation.
Le nettoyage RC4 qui peut casser les connexions
La mise à jour de juillet finalise le durcissement Kerberos RC4 entamé par Microsoft en janvier 2026. Le commutateur RC4DefaultDisablementPhase, utilisé comme bouée de sauvetage par les administrateurs, est supprimé.
Désormais, RC4 ne fonctionne que pour les comptes explicitement configurés pour l’utiliser. Si un compte de service dans votre environnement demande encore des tickets Kerberos RC4, l’authentification échouera dès l’installation de la mise à jour.
Les étapes à suivre avant d’appliquer le correctif
- Auditez d’abord : utilisez les événements d’audit RC4 ajoutés par Microsoft en janvier pour identifier les comptes concernés.
- Faites pivoter les mots de passe : pour les comptes de service identifiés, changez leurs mots de passe afin que Windows génère des clés AES.
- Appliquez le correctif : une fois les comptes mis à jour, installez la mise à jour.
« La rotation des mots de passe ne corrige que les comptes auxquels il manque des clés AES. Les comptes configurés pour utiliser RC4 ou les clients legacy qui ne parlent que RC4 nécessitent une correction spécifique avant la mise à jour. »
Cette modification ne crée pas de faille de sécurité, mais elle peut provoquer des interruptions de service si vous négligez l’audit préalable.
Comment prioriser les correctifs face à 622 CVEs
Face à un tel volume, la méthode traditionnelle de tri par score CVSS (Common Vulnerability Scoring System) n’est plus efficace. Les deux failles exploitées ce mois-ci illustrent parfaitement ce problème : ni l’une ni l’autre n’atteint un score de 9.8, ce sont des failles de privilège de niveau intermédiaire, mais elles sont déjà utilisées par des attaquants.
Les indicateurs à suivre pour prioriser
- L’indice d’exploitabilité de Microsoft : Microsoft marque déjà ces deux failles comme exploitées dans son propre système.
- Le catalogue KEV de la CISA : bien que ces failles n’y soient pas encore listées, c’est une source à surveiller.
- L’EPSS (Exploit Prediction Scoring System) : cet indicateur prédit la probabilité d’exploitation d’une vulnérabilité dans les 30 jours.
- Les rapports d’incidents : les crédits attribués à Mandiant, Google FLARE ou DART indiquent une découverte lors d’attaques réelles.
Les correctifs prioritaires ce mois-ci
- CVE-2026-56164 (SharePoint Server) : priorité absolue, déjà exploité, sans interaction nécessaire.
- CVE-2026-56155 (AD FS) : priorité élevée, déjà exploité, impact sur l’infrastructure d’authentification.
- CVE-2026-55040 (JWT SharePoint) : à corriger rapidement pour briser la chaîne d’exploitation avant le correctif RCE d’août.
- CVE-2026-57092 (VMSwitch RCE) : score de 9.9, à corriger rapidement.
- CVE-2026-55008 (Exchange XSS) : score de 9.6, à corriger rapidement.
- CVE-2026-50661 (BitLocker) : à corriger, mais sans urgence immédiate.
Les leçons pour votre stratégie de sécurité
Ce Patch Tuesday record confirme plusieurs tendances majeures en cybersécurité.
L’automatisation change la donne
L’IA permet de détecter davantage de vulnérabilités, mais elle accélère aussi le cycle correctif. Microsoft a prévenu que le volume élevé de mises à jour deviendrait la norme. Les équipes IT doivent s’adapter à ce rythme.
Le tri par score CVSS est obsolète
Avec 622 CVEs, dont une part importante classée Haute ou Critique, le score ne permet plus de prioriser efficacement. Les deux failles exploitées ce mois-ci sont des failles de privilège de niveau intermédiaire, et non des RCE à 9.8. Il faut désormais trier par indicateurs d’exploitation réelle.
La fenêtre de patch se réduit
Les attaquants peuvent désormais analyser les correctifs dès leur publication pour développer des exploits. Le délai traditionnel d’une semaine avant de patcher n’est plus viable. Il faut patcher plus rapidement, en se concentrant sur les failles exploitées.
Mise en œuvre : les étapes actionnables pour votre équipe
Semaine 1 : priorisation et test
- Identifiez les systèmes concernés : localisez vos serveurs SharePoint, AD FS, Exchange et les machines Windows.
- Appliquez les correctifs prioritaires : commencez par les deux zero-days exploités (CVE-2026-56164 et CVE-2026-56155).
- Auditez les comptes RC4 : utilisez les événements d’audit pour identifier les comptes de service concernés.
- Testez en environnement de préproduction : vérifiez que les correctifs n’introduisent pas de régressions.
Semaine 2 : déploiement et surveillance
- Déployez les correctifs : appliquez les mises à jour sur l’ensemble des systèmes.
- Surveillez les logs : vérifiez les journaux d’événements pour détecter toute anomalie.
- Vérifiez les comptes RC4 : assurez-vous que tous les comptes de service utilisent désormais AES.
- Planifiez le correctif d’août : préparez le déploiement du correctif RCE pour SharePoint en août.
Conclusion : priorisez par l’exploitation réelle, pas par le score
Le Patch Tuesday de juillet 2026 marque un tournant dans la gestion des correctifs de sécurité. Avec 622 failles corrigées, dont deux zero-days déjà exploités, il devient impératif de changer votre approche de priorisation. Ne vous fiez plus au score CVSS seul : triez par indicateurs d’exploitation réelle (KEV, EPSS, indice Microsoft). Patchez plus rapidement que vous ne le faisiez, car la fenêtre de vulnérabilité se réduit. Et surtout, ne négligez pas les failles de privilège : elles sont souvent plus dangereuses que les RCE spectaculaires. Votre infrastructure mérite une stratégie de sécurité adaptée à ce nouveau rythme.