Record Patch Tuesday : 622 correctifs Microsoft dont deux failles zero-day exploitées
Aurélien Fontevive
En juillet 2026, Microsoft a publié son plus gros Patch Tuesday jamais enregistré, avec 622 correctifs de sécurité, soit plus du triple du précédent record de juin (environ 200). Parmi eux, deux failles zero-day sont activement exploitées par des attaquants. Cette mise à jour massive soulève des questions cruciales pour les équipes de cybersécurité en France : comment prioriser ces correctifs quand le volume dépasse l’entendement ? Cet article vous guide à travers les vulnérabilités critiques, les actions immédiates à mener et les leçons stratégiques à tirer de cet événement sans précédent.
Pourquoi ce Patch Tuesday bat-il tous les records ?
Le nombre de correctifs publiés par Microsoft en juillet 2026 a explosé, atteignant 622 CVEs selon le Security Update Guide de l’éditeur. Cette augmentation spectaculaire n’est pas un hasard : elle reflète l’intégration croissante de l’intelligence artificielle dans les processus de détection de vulnérabilités. Microsoft a annoncé le 9 juillet 2026 que son système d’analyse multi-modèle, nommé MDASH, avait découvert 16 failles lors du Patch Tuesday de mai. Ce même système a probablement contribué à identifier une part significative des 622 vulnérabilités de juillet.
L’impact de l’IA sur la découverte de failles
L’utilisation de l’IA par Microsoft pour détecter des vulnérabilités est une arme à double tranchant. D’un côté, elle permet de corriger des failles avant qu’elles ne soient exploitées massivement. De l’autre, elle augmente considérablement le volume de correctifs à déployer, ce qui complexifie la gestion des priorités pour les équipes de sécurité. « Dans la pratique, nous observons que les RSSI français doivent désormais traiter des cycles de patch plus fréquents et plus volumineux, ce qui nécessite une automatisation accrue des processus de déploiement », explique un expert en cybersécurité.
Répartition des correctifs par famille de produits
Le tableau ci-dessous détaille la répartition des 622 correctifs par famille de produits Microsoft, avec les vulnérabilités les plus notables :
| Famille de produits | Nombre de CVEs | Vulnérabilités marquantes |
|---|---|---|
| Windows | 416 | AD FS zero-day (CVE-2026-56155), BitLocker bypass (CVE-2026-50661), VMSwitch RCE (9.9), 5 DHCP RCEs, 21 bugs NTFS/ReFS |
| Office | 82 | Comptés une fois (82 supplémentaires listés sous Office 2016, soit 164 au total selon certaines sources) |
| Microsoft Edge | 46 | 21 correctifs propres à Microsoft (hors Chromium) |
| Developer Tools | 27 | Contournements de fonctionnalités de sécurité (injection, path traversal) dans Visual Studio, VS Code, GitHub Copilot |
| SharePoint Server | 17 | Zero-day exploité (CVE-2026-56164), contournement JWT (CVE-2026-55040), RCE critique (CVE-2026-50522 à 9.8) |
| Azure | 11 | Rien d’urgent signalé |
| SQL Server | 8 | Paire de RCE (CVE-2026-54117 et CVE-2026-54118, tous deux à 8.8) |
| Defender | 5 | Deux RCE critiques |
| Exchange Server | 5 | Stored XSS dans Outlook Web Access (CVE-2026-55008 à 9.6) |
| Autres | 5 | Rien d’urgent signalé |
Source : Microsoft Security Update Guide et analyse ZDI (juillet 2026)
Les deux failles zero-day à corriger en priorité
Deux vulnérabilités zero-day sont activement exploitées par des attaquants. Leur priorisation est essentielle pour éviter une compromission rapide de votre système d’information.
CVE-2026-56164 : SharePoint Server
Cette faille d’élévation de privilèges dans SharePoint Server permet à un attaquant non authentifié d’escalader ses privilèges à distance, sans interaction utilisateur ni identifiants. Microsoft a remercié les équipes d’incident response de Mandiant et de Google FLARE pour la découverte, ce qui suggère une exploitation active lors d’attaques réelles.
« Si vous utilisez SharePoint Server en auto-hébergement, cette vulnérabilité est la priorité absolue. De plus, le 15 juillet 2026 marque la fin du support étendu de SharePoint Server 2016 et 2019, sans programme ESU (Extended Security Updates) disponible », prévient un rapport de The Hacker News.
Actions recommandées :
- Appliquer immédiatement le correctif sur tous les serveurs SharePoint.
- Activer AMSI (Antimalware Scan Interface) en mode complet sur les serveurs concernés, comme indiqué dans l’avis de Microsoft.
- Planifier la migration vers SharePoint Online ou une version supportée avant la fin du support.
CVE-2026-56155 : Active Directory Federation Services (AD FS)
Cette faille d’élévation de privilèges dans AD FS permet à un attaquant déjà authentifié d’obtenir des privilèges supplémentaires via des contrôles d’accès faibles. Microsoft a crédité son équipe DART (Detection and Response Team) pour la découverte.
« AD FS est le service qui signe les jetons d’authentification pour l’ensemble du domaine. Une faille locale sur ce serveur peut avoir des conséquences disproportionnées sur la sécurité de tout l’environnement », souligne un expert en sécurité des identités.
Points clés :
- Microsoft n’a pas précisé quels privilèges sont accordés ni comment les attaquants exploitent cette faille.
- Aucune des deux vulnérabilités n’est encore listée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA, mais Microsoft les a déjà marquées comme exploitées.
- Ne pas attendre une inscription au KEV pour agir.
Les autres vulnérabilités critiques à ne pas négliger
Au-delà des deux zero-day, plusieurs autres failles méritent une attention particulière.
CVE-2026-50661 : Contournement BitLocker
Cette troisième faille zero-day, divulguée publiquement mais non exploitée activement, concerne un contournement de BitLocker. Elle nécessite un accès physique à l’appareil, ce qui réduit son urgence immédiate. Cependant, elle s’inscrit dans une série de vulnérabilités BitLocker découvertes en 2026, comme les failles “bitskrieg” et “YellowKey”.
CVE-2026-55040 : Contournement JWT dans SharePoint
Rapid7 Labs a divulgué cette vulnérabilité lors du concours Pwn2Own Berlin. Il s’agit d’un contournement d’authentification JWT (JSON Web Token) dans SharePoint. La note de sévérité varie : Rapid7 l’évalue à 5.3 (moyen) tandis que ZDI la considère comme critique à 9.1.
Ce qu’il faut savoir :
- Rapid7 a enchaîné cette faille à une vulnérabilité RCE (Remote Code Execution) non corrigée pour obtenir une exécution de code à distance non authentifiée.
- Microsoft prévoit de corriger la faille RCE en août 2026.
- Le correctif de juillet brise la chaîne d’attaque, mais la RCE reste non patchée.
CVE-2026-55008 : Stored XSS dans Exchange Server
Cette vulnérabilité de type “stored cross-site scripting” dans Outlook Web Access est notée 9.6 par Microsoft, qui la classe sous “spoofing”. Bien que Microsoft minimise son impact, une XSS persistante peut permettre à un attaquant d’exécuter des scripts malveillants dans le navigateur des utilisateurs.
Le nettoyage RC4 dans Kerberos : attention aux pannes d’authentification
La mise à jour de juillet 2026 finalise le durcissement du protocole Kerberos contre l’utilisation de RC4, un algorithme de chiffrement obsolète. Microsoft supprime le commutateur de rollback RC4DefaultDisablementPhase, qui permettait aux administrateurs de désactiver temporairement cette mesure.
Conséquences pour les environnements Windows
Après cette mise à jour, RC4 ne fonctionnera que pour les comptes explicitement configurés pour l’utiliser. Tout compte de service qui demande encore des tickets Kerberos RC4 pourrait échouer à s’authentifier immédiatement après l’installation du correctif.
Procédure recommandée :
- Auditer les comptes de service utilisant RC4 via les événements d’audit ajoutés par Microsoft en janvier 2026.
- Réinitialiser les mots de passe des comptes de service concernés pour générer des clés AES.
- Appliquer le correctif après avoir confirmé que tous les comptes sont conformes.
- Pour les clients legacy : prévoir une solution de contournement avant la mise à jour.
« Cette faille ne compromet pas la sécurité directement, mais elle peut provoquer des pannes d’authentification massives si elle n’est pas anticipée », prévient un administrateur système.
Stratégie de priorisation face à 622 correctifs
Avec un volume de correctifs aussi élevé, les méthodes traditionnelles de tri basées sur le score CVSS deviennent inefficaces. Les deux zero-day exploitées de ce mois-ci illustrent parfaitement ce problème : aucune n’a un score supérieur à 9.0, mais elles sont activement exploitées.
Utiliser les indicateurs d’exploitation
Microsoft fournit désormais un indicateur “exploité” dans son Security Update Guide. Combinez-le avec les sources suivantes pour prioriser :
- CISA KEV (Known Exploited Vulnerabilities) : liste des vulnérabilités exploitées activement.
- EPSS (Exploit Prediction Scoring System) : probabilité d’exploitation dans les 30 jours.
- Rapports des éditeurs : Microsoft, ZDI, Rapid7.
Automatiser le déploiement
Face à des cycles de patch plus fréquents et plus volumineux, l’automatisation devient indispensable. Utilisez des outils comme WSUS (Windows Server Update Services), SCCM (System Center Configuration Manager) ou des solutions cloud comme Microsoft Intune pour déployer les correctifs rapidement.
Exemple concret : Une entreprise française de 5 000 postes a réduit son temps de déploiement de 72 heures à 24 heures en automatisant les tests et le déploiement via une solution de gestion des correctifs.
Conclusion : Agir vite, prioriser intelligemment
Le Patch Tuesday de juillet 2026 marque un tournant dans la gestion des correctifs. Avec 622 vulnérabilités corrigées, dont deux zero-day activement exploitées, les équipes de cybersécurité doivent adapter leurs processus pour faire face à ce nouveau paradigme. Ne vous fiez pas uniquement aux scores CVSS : priorisez en fonction des indicateurs d’exploitation, automatisez le déploiement et anticipez les pannes potentielles comme celles liées au nettoyage RC4.
Prochaine action :
- Identifiez les serveurs SharePoint et AD FS dans votre environnement.
- Appliquez les correctifs CVE-2026-56164 et CVE-2026-56155 en priorité.
- Auditez vos comptes de service pour le support RC4.
- Mettez en place un processus automatisé de déploiement des correctifs.
En adoptant cette approche, vous réduirez significativement votre exposition aux risques et renforcerez la résilience de votre système d’information face à des menaces en constante évolution.