Avec 200 failles corrigées, le dernier Patch Tuesday de Microsoft marque une rupture
Toujours plus loin, plus fort, plus vite 🎵
Illustration : Flock
Le 11 juin à 11h23
Microsoft a publié mardi soir son Patch Tuesday de juin, avec un nombre record de correctifs pour près de 200 failles. L’éditeur avait prévenu le mois dernier que l’arrivée progressive des IA dans le domaine de la sécurité allait accélérer la cadence. Un phénomène d’ampleur et général.
Avec 200 failles corrigées, le dernier Patch Tuesday de Microsoft marque une rupture
Toujours plus loin, plus fort, plus vite 🎵
Illustration : Flock
Microsoft a publié mardi soir son Patch Tuesday de juin, avec un nombre record de correctifs pour près de 200 failles. L’éditeur avait prévenu le mois dernier que l’arrivée progressive des IA dans le domaine de la sécurité allait accélérer la cadence. Un phénomène d’ampleur et général.
Sécurité
Sécurité
8 min
Si vous n’avez pas encore redémarré votre ordinateur pour appliquer les derniers correctifs de Windows, il est temps de sauter le pas. La mise à jour mensuelle de sécurité, publiée le soir du 9 juin, contient un nombre record de failles corrigées, et pas des moindres : 198 vulnérabilités, dont 32 critiques et quatre dont les détails sont publics. L’une d’elles est d’ailleurs déjà exploitée.
Attention les yeux
C’est le plus gros Patch Tuesday jamais publié par Microsoft. Comme signalé par plusieurs médias, dont ComputerWeekly, le nouveau venu explose le précédent record, détenu par la mise à jour d’octobre 2025 et ses 170 failles corrigées.
Avec ses 198 vulnérabilités colmatées, le Patch Tuesday est déjà important en soi. Mais c’est surtout son nombre de failles critiques corrigées qui attire l’attention : 32, un chiffre très élevé pour un seul lâcher de patchs. En outre, quatre failles sont détaillées publiquement. Elles ne sont pas critiques, mais sont tout de même importantes, et l’une d’elles est exploitée :
- CVE-2026-41091 : faille de type élévation de privilèges dans Microsoft Defender, activement exploitée
- CVE-2026-45586 : faille de type élévation de privilèges (EoP) dans le Windows Collaborative Translation Framework (CTFMON)
- CVE-2026-49160 : faille de type déni de service (DoS) dans HTTP.sys
- CVE-2026-50507 : faille de type contournement de sécurité (SFB) dans BitLocker
La taille de cette mise à jour de sécurité interroge. Mais il faut rappeler que Microsoft a publié en mai un billet, « A note on patch Tuesday », indiquant que ses équipes d’ingénieurs, et plus généralement la communauté de la sécurité, se servaient de plus en plus des LLM et autres outils dopés à l’IA pour détecter les failles. Plus de détections mènent à plus de corrections, même si ce n’est pas nécessairement dans les mêmes proportions.
Cauchemar en salle de dev
Le mois dernier, nous rapportions les informations données par un chercheur indépendant en sécurité se faisant appeler Nightmare Eclipse. Il avait fourni des informations sur plusieurs failles, dont YellowKey qui a fait grand bruit, car elle relançait l’idée que Microsoft était en capacité de fournir la clé de chiffrement de BitLocker aux autorités si besoin.
L’impact des informations données par Nightmare Eclipse est concret. Il semble que le correctif pour la faille CVE-2026-50507 dans BitLocker soit bien lié à YellowKey. D’autres failles montrées par le chercheur trouvent a priori leur réponse dans le Patch Tuesday. GreenPlasma était par exemple une faille permettant une élévation de privilèges dans le Windows Collaborative Translation Framework. Dans le correctif pour le CVE-2026-45586, il est justement question d’une telle faille.
À noter qu’à la fin mai, Microsoft s’était fendu d’un billet pour dire tout le mal qu’elle pensait de ces publications, visibles publiquement et présentant assez de détails pour être exploitées plus ou moins facilement. L’entreprise indiquait clairement que les forces de l’ordre pouvaient être averties dans de tels cas, car les conséquences de telles révélations pouvaient avoir un impact lourd sur la sécurité générale.
Nightmare Eclipse, de son côté, expliquait en être arrivé à ces extrémités à cause d’un Microsoft ayant « choisi d’aggraver la situation au lieu de la régler comme des adultes. Ils ont eu recours à toutes les manœuvres puériles possibles. Ma patience a des limites et vous faites payer tout le monde ».
Une accélération très marquée
Outre les questions de responsabilité dans la publication des détails des failles de sécurité, l’emballement du nombre de correctifs est une conséquence directe de l’utilisation de plus en plus intensive des outils IA dans le domaine de la sécurité.
Dans son billet de mai sur le patch Tuesday, l’éditeur indiquait ainsi que les outils d’automatisation avaient mûri, que la participation des chercheurs avait augmenté et que le recours à l’IA était logiquement croissant :
« Des modèles avancés d’IA font partie du tableau de la découverte et contribuent à l’accélérer. Ils nous permettent de raisonner sur les chemins et configurations du code à une vitesse et une cohérence impossibles à la seule révision manuelle. Une automatisation supplémentaire dans nos flux de travail de validation nous aide à évaluer plus rapidement la gravité et la reproductibilité. »
Bien que cette accélération puisse poser des questions, notamment sur la manière de classer les failles et les barèmes associés, rien ne change pour l’instant, en dehors du rythme. Et le Patch Tuesday de juin n’est pas le seul à marquer « le coup ».
La société de sécurité Rapid7 notait hier sur son blog que Microsoft en était également à 360 vulnérabilités corrigées depuis le début du mois dans son navigateur Edge. La majeure partie provient de Chromium (sur lequel Edge est basé), signalant du même coup une accélération franche du rythme un peu partout. Pour preuve : Chrome 149, sorti au début du mois, corrigeait le nombre impressionnant de 429 failles de sécurité. Du côté d’Adobe, les dernières mises à jour ont colmaté 123 brèches de sécurité.
Chats et souris sous stéroïdes
« Nous sommes dans l’apocalypse des patchs. […] Ce n’est pas une tactique d’intimidation. C’est pour souligner le défi que de nombreuses organisations anticipaient, mais la nouvelle génération de LLM a accéléré significativement durant la première moitié de 2026 », a indiqué Chris Goettl, vice-président produits de sécurité chez Ivanti, interrogé par Computer Weekly.
Selon lui, cette accélération est naturelle, mais s’accompagne d’un pendant négatif, tout aussi prévisible : « Il va y avoir plus de failles résolues par les éditeurs, à un rythme plus rapide et continu que tout ce que nous avons vu jusqu’à présent. Malheureusement, cela inclura aussi plus d’exploitations de failles 0-day et n-day que précédemment ».
En avril, le cas de Firefox illustrait déjà pleinement la situation : la version 150 du navigateur corrigeait la bagatelle de 271 vulnérabilités, du jamais vu chez Mozilla. Bobby Holley, directeur technique de Firefox, évoquait d’ailleurs un « vertige ».
Ces failles avaient été repérées par le modèle Mythos d’Anthropic, accessible uniquement via le projet Glasswing, pour verrouiller l’accès à une IA considérée comme trop « puissante ». Depuis, Anthropic a publié Fable, disposant des mêmes capacités en théorie mais assortie de garde-fous.
Ces modèles utilisés pour détecter les failles sont des outils neutres : ils trouvent les vulnérabilités, mais ne s’assurent pas de l’usage qui en sera fait. En d’autres termes, c’est un nouveau jeu du chat et de la souris dans le domaine de la sécurité, cette fois sous stéroïdes.
On peut donc s’attendre désormais à des correctifs de plus en plus copieux pour les systèmes et applications. Le phénomène concerne tous les produits informatiques, que l’on parle d’ordinateurs ou d’appareils mobiles comme les téléphones et tablettes. Linux n’est pas épargné, car la série récente de correctifs portant sur des élévations locales de privilèges doit son rythme important en grande partie aux découvertes par l’IA.
Le monde de la sécurité est déjà en ébullition dans ce domaine à cause d’une hausse significative des rapports de bugs. Elle avait provoqué la colère de l’équipe derrière Ffmpeg, qui fustigeait la « bouillie » (slop) générée par l’IA et l’envoi d’un nombre si important de rapports de bugs que les vérifications devenaient humainement impossibles. Ce qui pose la question des moyens alloués à cette vérification, y compris dans les grandes entreprises comme Microsoft.
Autre question : le rythme toujours plus soutenu des découvertes, vérifications et corrections ne risque-t-il pas d’entrainer une hausse de bugs plus généraux, à cause d’effets indésirables dans les correctifs ?Les prochains mois ne seront probablement pas de tout repos.
Commentaires (22)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 11 juin à 11h49
Même pas eu besoin de faire une recherche sur les paroles, je me sens vieux...
Blague à part, j'ai l'impression que tout le monde ne reçoit pas l’entièreté des patch en même temps, on a des machines soi-disant identiques avec des comportements différents après màj (pas en sécurité, mais en perf)
Modifié le 11 juin à 12h10
Le 12 juin à 12h13
Modifié le 11 juin à 11h52
C'est vraiment pas le genre de Microsoft de créer des bugs avec leurs mises à jour. Alors avec l'utilisation des IA qui corrige des centaines de failles par semaines, on peut dormir tranquille.
Le 11 juin à 11h50
Le 11 juin à 12h05
Quoi qu'il en soit, le comportement de Nightmare Eclipse a surtout mis en danger les utilisateurs plus que Microsoft lui-même. Qu'il y ait des bisbilles entre les deux ne nous regardent pas vraiment. Nightmare Eclipse a véritablement eu un comportement hyper dangereux, en ne respectant pas ce qui est la norme dans ce secteur : on prévient toujours avant, en laissant un délai raisonnable, puis on publie.
En publiant directement, sans prévenir l'éditeur (qu'importe les différents avant), il a simplement fourni une 0-day à qui le veut. C'est juste inadmissible et insupportable, et ça, c'est sa pleine responsabilité.
Le 11 juin à 14h41
D'ailleurs il avait déjà annoncé qu'il le ferait après la publication du Patch Tuesday.
Pas cool mais d'un autre coté MS est aussi loin d'être au niveau avec Bitlocker, ce truc est une passoire à répétition alors qu'il justifiait en partie l'obligation de renouvellement du matériel lié à Windows 11 et que de très nombreux professionnel se repose sur lui.
Le 12 juin à 09h52
Le 11 juin à 17h59
Le 11 juin à 12h36
Le 11 juin à 20h21
Je plaisante, j'aime bien Windows, surtout 2000.
Le 11 juin à 13h36
Le 11 juin à 15h13
Le 11 juin à 18h33
Le 11 juin à 20h42
À moins qu'à un moment donné, il y ai un petit malin qui trouve une faille dans Android/iOS permettant d'exécuter du code à distance en 0-clic et qui puisse être joué sur tous les appareils rapidement et sans contournement possible, et que cette faille soit exploitée pour tous les infecter d'un coup, récupérer toutes les données, puis les briquer.
À l'échelle d'un pays, ça pourrait avoir l'effet d'une catastrophe majeure...
Le 11 juin à 20h58
Le 11 juin à 21h08
Le 12 juin à 17h19
Modifié le 12 juin à 18h10
Du coup ils vont passer à deux patch tuesday par mois
Le 12 juin à 19h03
Le 13 juin à 09h50
Le 13 juin à 13h09
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?