Patch Tuesday record : 622 failles corrigées, dont deux zero-days activement exploitées
Hippolyte Valdegré
Microsoft a publié le 14 juillet 2026 son plus gros Patch Tuesday de l’histoire, avec pas moins de 622 vulnérabilités corrigées. Ce chiffre dépasse largement le précédent record de juin, qui s’établissait à environ 200 correctifs. Parmi ces failles, deux zero-days sont d’ores et déjà activement exploitées par des attaquants. Pour les équipes de cybersécurité françaises, ce mois de juillet impose une priorisation rigoureuse et une réactivité accrue.
Pourquoi ce Patch Tuesday bat tous les records
Ce volume exceptionnel de correctifs s’explique en partie par l’intégration croissante de l’intelligence artificielle dans les processus de détection de Microsoft. Dans un billet du 9 juillet, la firme de Redmond a prévenu les administrateurs qu’ils devaient s’attendre à un « volume plus élevé de mises à jour de sécurité » grâce à son système multi-modèle MDASH (Multi-model Detection and Automated Security Hunting). Ce dernier a déjà permis de découvrir 16 failles lors du Patch Tuesday de mai 2026. Toutefois, cette automatisation a un revers : une fois le correctif publié, les attaquants peuvent rapidement analyser la différence entre l’ancienne et la nouvelle version du code pour développer un exploit. Le traditionnel « délai d’une semaine » avant de patcher n’est plus viable.
Une répartition des failles par famille de produits
| Famille de produits | Nombre de CVEs | Éléments notables |
|---|---|---|
| Windows | 416 | Comprend le zero-day AD FS (CVE-2026-56155) et la faille BitLocker divulguée (CVE-2026-50661). Le score maximal est de 9,9 pour une RCE sur VMSwitch (CVE-2026-57092). Cinq RCE DHCP et 21 bugs de pilotes NTFS/ReFS. |
| Office | 82 | Compté une fois (certaines sources doublent ce chiffre en incluant Office 2016). |
| Microsoft Edge | 46 | Dont 21 correctifs propres à Microsoft, les autres venant de Chromium. |
| Outils développeur | 27 | Contournements de fonctionnalités de sécurité dans Visual Studio, VS Code et GitHub Copilot. |
| SharePoint Server | 17 | Inclut le zero-day exploité (CVE-2026-56164) et le contournement de chaîne de Rapid7 (CVE-2026-55040). |
| Azure | 11 | Rien d’urgent signalé. |
| SQL Server | 8 | Une paire de RCE (CVE-2026-54117 et CVE-2026-54118) notées 8,8. |
| Defender | 5 | Deux RCE critiques. |
| Exchange Server | 5 | Un XSS stocké dans Outlook Web Access (CVE-2026-55008) noté 9,6. |
| Autres | 5 | Rien d’urgent signalé. |
« Le score de sévérité n’est plus le critère de tri pertinent lorsqu’une mise à jour comporte plus de 600 CVEs. Les deux failles exploitées ce mois-ci le démontrent : ce ne sont pas des 9,8, mais des vulnérabilités de privilèges de niveau intermédiaire, déjà utilisées dans des attaques. » - Analyse de ZDI
Les deux zero-days à corriger en priorité
CVE-2026-56164 : la faille SharePoint qui ne nécessite aucune interaction
Cette vulnérabilité d’élévation de privilèges dans SharePoint Server sur site permet à un attaquant non authentifié d’escalader ses droits sur le réseau. Aucun identifiant, aucune interaction utilisateur, à distance. Microsoft a crédité les équipes d’incident de Mandiant et l’équipe FLARE de Google, ce qui suggère une découverte lors d’attaques actives. Si vous utilisez SharePoint en auto-hébergement, cette faille doit être votre priorité absolue.
Un élément supplémentaire ajoute de l’urgence : ce 14 juillet 2026 marque également la fin du support étendu pour SharePoint Server 2016 et 2019. Contrairement à Windows Server ou SQL Server, il n’existe pas de programme ESU (Extended Security Updates) payant pour ces versions. Les serveurs non patchés deviennent des cibles de choix.
Au-delà du correctif, Microsoft indique que l’activation d’AMSI (Antimalware Scan Interface) en mode complet sur le serveur atténue l’attaque. SharePoint reste un aimant pour les attaquants depuis la chaîne d’exploitation ToolShell qui a frappé les serveurs non patchés en 2025.
CVE-2026-56155 : la faille AD FS qui compromet les jetons d’authentification
Cette vulnérabilité dans Active Directory Federation Services (AD FS) permet à un attaquant déjà authentifié d’élever ses privilèges localement via des contrôles d’accès faibles. L’unité DART (Detection and Response Team) de Microsoft a été créditée pour la découverte. AD FS est le service qui signe les jetons d’authentification pour l’ensemble du domaine. Une faille étiquetée « locale » sur ce serveur mérite bien plus d’attention que ne le suggère son étiquette.
Microsoft n’a pas précisé quels privilèges sont accordés ni comment les attaquants exploitent cette faille. Ni CVE-2026-56164 ni CVE-2026-56155 ne figurent encore dans le catalogue KEV (Known Exploited Vulnerabilities) de CISA. Ne pas attendre cette inscription officielle pour agir : Microsoft a déjà confirmé l’exploitation active.
« Dans la pratique, nous avons observé que les équipes françaises ont tendance à sous-estimer les failles d’élévation de privilèges dans les infrastructures d’identité. Pourtant, ce sont souvent les plus dangereuses, car elles permettent à un attaquant déjà présent de se déplacer latéralement. » - Retour d’expérience d’un RSSI du CAC 40
Les autres failles critiques à ne pas négliger
CVE-2026-55040 : le contournement JWT de SharePoint
Rapid7 Labs a divulgué cette vulnérabilité de contournement d’authentification JWT, présentée lors du concours Pwn2Own Berlin. Le score varie selon les sources : Rapid7 l’évalue à 5,3 (moyen) tandis que ZDI le considère comme critique à 9,1. Ce qui est certain, c’est que Rapid7 l’a enchaînée à une faille d’exécution de code à distance non encore corrigée (prévue pour août 2026). Le correctif de juillet brise la chaîne, mais la RCE seule reste exploitable. Cette divergence de notation illustre la difficulté d’utiliser le CVSS comme seul critère de priorisation.
CVE-2026-50661 : le contournement BitLocker (physique)
Cette faille, divulguée publiquement mais non exploitée activement, nécessite un accès physique à l’appareil. Elle continue la série de contournements BitLocker observée depuis les attaques bitskrieg et YellowKey plus tôt dans l’année. À corriger, mais sans urgence immédiate.
Le nettoyage RC4 dans Kerberos
La mise à jour de juillet finalise le durcissement Kerberos entamé par Microsoft en janvier 2026. Le commutateur de rollback RC4DefaultDisablementPhase est supprimé. Désormais, RC4 ne fonctionne que pour les comptes explicitement configurés pour l’autoriser. Si un compte de service dans votre environnement demande encore des tickets Kerberos RC4, l’authentification échouera dès l’installation du correctif.
L’ordre des opérations est crucial :
- Auditer les comptes utilisant RC4 grâce aux événements d’audit ajoutés en janvier.
- Réinitialiser les mots de passe des comptes de service concernés pour que Windows génère des clés AES.
- Appliquer le correctif une fois l’audit terminé.
Cette modification ne crée pas de faille de sécurité, mais elle peut provoquer des indisponibilités si elle n’est pas anticipée.
Comment prioriser efficacement les 622 correctifs
Face à un volume aussi massif, les méthodes traditionnelles de priorisation montrent leurs limites. Voici une approche structurée pour les équipes de sécurité françaises :
- Identifier les failles exploitées activement : utilisez le flag « exploited » de Microsoft, le catalogue KEV de CISA (même s’il n’est pas encore à jour), et les scores EPSS (Exploit Prediction Scoring System).
- Cibler les infrastructures critiques : SharePoint, AD FS, Exchange Server et les contrôleurs de domaine doivent passer en premier.
- Évaluer l’impact métier : une faille dans un système de gestion de documents peut compromettre des données sensibles, tandis qu’une faille dans un service d’authentification peut ouvrir tout le domaine.
- Tester les correctifs : dans un environnement de préproduction, vérifiez la compatibilité avec vos applications métier avant le déploiement généralisé.
- Automatiser le déploiement : utilisez des outils comme WSUS, SCCM ou Azure Update Manager pour accélérer le processus.
Exemple concret : priorisation dans une PME française
Prenons le cas d’une PME de 500 employés utilisant SharePoint Server 2019 en auto-hébergement et AD FS pour l’authentification unique. La priorité absolue est de corriger CVE-2026-56164 (SharePoint) et CVE-2026-56155 (AD FS). Ensuite, il faut vérifier que les comptes de service ne sont pas configurés pour utiliser RC4. Enfin, les correctifs Exchange Server et SQL Server peuvent être planifiés dans la fenêtre de maintenance suivante.
L’impact de l’IA sur la découverte de failles
L’utilisation croissante de l’IA par Microsoft pour détecter les vulnérabilités modifie profondément le paysage des correctifs. Le système MDASH a déjà identifié 16 failles lors du Patch Tuesday de mai 2026. Cette automatisation permet de découvrir plus de bugs, mais elle réduit aussi le temps entre la publication du correctif et l’apparition d’un exploit. Les attaquants peuvent désormais « diff » les versions du code pour identifier la faille et développer un exploit en quelques heures.
« L’automatisation des correctifs par l’IA est une arme à double tranchant. D’un côté, elle permet de découvrir des vulnérabilités qui seraient restées inconnues. De l’autre, elle accélère le rythme des correctifs et réduit la fenêtre de réaction des équipes de sécurité. » - Analyse de l’ANSSI
Conclusion : agir vite et prioriser intelligemment
Le Patch Tuesday de juillet 2026 marque un tournant dans la gestion des correctifs. Avec 622 failles corrigées, dont deux zero-days activement exploitées, les équipes de sécurité françaises doivent revoir leurs processus de priorisation. Le score CVSS n’est plus un indicateur fiable : ce sont les failles de privilèges dans les infrastructures d’identité et de collaboration qui constituent la menace la plus immédiate.
La fin du support de SharePoint Server 2016 et 2019 ajoute une pression supplémentaire. Les organisations qui n’ont pas migré vers SharePoint Subscription Edition ou Microsoft 365 doivent envisager une transition accélérée.
Enfin, l’arrivée de l’IA dans la détection des vulnérabilités impose une nouvelle discipline : patcher plus vite, tester plus rigoureusement, et ne jamais attendre une confirmation externe (comme KEV) pour agir. La cybersécurité en 2026 exige réactivité et discernement.
Et vous, comment gérez-vous ce Patch Tuesday record dans votre organisation ? Partagez vos retours d’expérience dans les commentaires.