S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Avec 200 failles corrigées, le dernier Patch Tuesday de Microsoft marque une rupture

Toujours plus loin, plus fort, plus vite 🎵

Avec 200 failles corrigées, le dernier Patch Tuesday de Microsoft marque une rupture

Illustration : Flock

Microsoft a publié mardi soir son Patch Tuesday de juin, avec un nombre record de correctifs pour près de 200 failles. L’éditeur avait prévenu le mois dernier que l’arrivée progressive des IA dans le domaine de la sécurité allait accélérer la cadence. Un phénomène d’ampleur et général.

Si vous n’avez pas encore redémarré votre ordinateur pour appliquer les derniers correctifs de Windows, il est temps de sauter le pas. La mise à jour mensuelle de sécurité, publiée le soir du 9 juin, contient un nombre record de failles corrigées, et pas des moindres : 198 vulnérabilités, dont 32 critiques et quatre dont les détails sont publics. L’une d’elles est d’ailleurs déjà exploitée.

Attention les yeux

C’est le plus gros Patch Tuesday jamais publié par Microsoft. Comme signalé par plusieurs médias, dont ComputerWeekly, le nouveau venu explose le précédent record, détenu par la mise à jour d’octobre 2025 et ses 170 failles corrigées.

Avec ses 198 vulnérabilités colmatées, le Patch Tuesday est déjà important en soi. Mais c’est surtout son nombre de failles critiques corrigées qui attire l’attention : 32, un chiffre très élevé pour un seul lâcher de patchs. En outre, quatre failles sont détaillées publiquement. Elles ne sont pas critiques, mais sont tout de même importantes, et l’une d’elles est exploitée :

  • CVE-2026-41091 : faille de type élévation de privilèges dans Microsoft Defender, activement exploitée
  • CVE-2026-45586 : faille de type élévation de privilèges (EoP) dans le Windows Collaborative Translation Framework (CTFMON)
  • CVE-2026-49160 : faille de type déni de service (DoS) dans HTTP.sys
  • CVE-2026-50507 : faille de type contournement de sécurité (SFB) dans BitLocker

La taille de cette mise à jour de sécurité interroge. Mais il faut rappeler que Microsoft a publié en mai un billet, « A note on patch Tuesday », indiquant que ses équipes d’ingénieurs, et plus généralement la communauté de la sécurité, se servaient de plus en plus des LLM et autres outils dopés à l’IA pour détecter les failles. Plus de détections mènent à plus de corrections, même si ce n’est pas nécessairement dans les mêmes proportions.

Cauchemar en salle de dev

Le mois dernier, nous rapportions les informations données par un chercheur indépendant en sécurité se faisant appeler Nightmare Eclipse. Il avait fourni des informations sur plusieurs failles, dont YellowKey qui a fait grand bruit, car elle relançait l’idée que Microsoft était en capacité de fournir la clé de chiffrement de BitLocker aux autorités si besoin.

L’impact des informations données par Nightmare Eclipse est concret. Il semble que le correctif pour la faille CVE-2026-50507 dans BitLocker soit bien lié à YellowKey. D’autres failles montrées par le chercheur trouvent a priori leur réponse dans le Patch Tuesday. GreenPlasma était par exemple une faille permettant une élévation de privilèges dans le Windows Collaborative Translation Framework. Dans le correctif pour le CVE-2026-45586, il est justement question d’une telle faille.

À noter qu’à la fin mai, Microsoft s’était fendu d’un billet pour dire tout le mal qu’elle pensait de ces publications, visibles publiquement et présentant assez de détails pour être exploitées plus ou moins facilement. L’entreprise indiquait clairement que les forces de l’ordre pouvaient être averties dans de tels cas, car les conséquences de telles révélations pouvaient avoir un impact lourd sur la sécurité générale.

Nightmare Eclipse, de son côté, expliquait en être arrivé à ces extrémités à cause d’un Microsoft ayant « choisi d’aggraver la situation au lieu de la régler comme des adultes. Ils ont eu recours à toutes les manœuvres puériles possibles. Ma patience a des limites et vous faites payer tout le monde ».

Une accélération très marquée

Outre les questions de responsabilité dans la publication des détails des failles de sécurité, l’emballement du nombre de correctifs est une conséquence directe de l’utilisation de plus en plus intensive des outils IA dans le domaine de la sécurité.

Dans son billet de mai sur le patch Tuesday, l’éditeur indiquait ainsi que les outils d’automatisation avaient mûri, que la participation des chercheurs avait augmenté et que le recours à l’IA était logiquement croissant :

« Des modèles avancés d’IA font partie du tableau de la découverte et contribuent à l’accélérer. Ils nous permettent de raisonner sur les chemins et configurations du code à une vitesse et une cohérence impossibles à la seule révision manuelle. Une automatisation supplémentaire dans nos flux de travail de validation nous aide à évaluer plus rapidement la gravité et la reproductibilité. »

Bien que cette accélération puisse poser des questions, notamment sur la manière de classer les failles et les barèmes associés, rien ne change pour l’instant, en dehors du rythme. Et le Patch Tuesday de juin n’est pas le seul à marquer « le coup ».

La société de sécurité Rapid7 notait hier sur son blog que Microsoft en était également à 360 vulnérabilités corrigées depuis le début du mois dans son navigateur Edge. La majeure partie provient de Chromium (sur lequel Edge est basé), signalant du même coup une accélération franche du rythme un peu partout. Pour preuve : Chrome 149, sorti au début du mois, corrigeait le nombre impressionnant de 429 failles de sécurité. Du côté d’Adobe, les dernières mises à jour ont colmaté 123 brèches de sécurité.

Chats et souris sous stéroïdes

« Nous sommes dans l’apocalypse des patchs. […] Ce n’est pas une tactique d’intimidation. C’est pour souligner le défi que de nombreuses organisations anticipaient, mais la nouvelle génération de LLM a accéléré significativement durant la première moitié de 2026 », a indiqué Chris Goettl, vice-président produits de sécurité chez Ivanti, interrogé par Computer Weekly.

Selon lui, cette accélération est naturelle, mais s’accompagne d’un pendant négatif, tout aussi prévisible : « Il va y avoir plus de failles résolues par les éditeurs, à un rythme plus rapide et continu que tout ce que nous avons vu jusqu’à présent. Malheureusement, cela inclura aussi plus d’exploitations de failles 0-day et n-day que précédemment ».

En avril, le cas de Firefox illustrait déjà pleinement la situation : la version 150 du navigateur corrigeait la bagatelle de 271 vulnérabilités, du jamais vu chez Mozilla. Bobby Holley, directeur technique de Firefox, évoquait d’ailleurs un « vertige ».

Ces failles avaient été repérées par le modèle Mythos d’Anthropic, accessible uniquement via le projet Glasswing, pour verrouiller l’accès à une IA considérée comme trop « puissante ». Depuis, Anthropic a publié Fable, disposant des mêmes capacités en théorie mais assortie de garde-fous.

Ces modèles utilisés pour détecter les failles sont des outils neutres : ils trouvent les vulnérabilités, mais ne s’assurent pas de l’usage qui en sera fait. En d’autres termes, c’est un nouveau jeu du chat et de la souris dans le domaine de la sécurité, cette fois sous stéroïdes.

On peut donc s’attendre désormais à des correctifs de plus en plus copieux pour les systèmes et applications. Le phénomène concerne tous les produits informatiques, que l’on parle d’ordinateurs ou d’appareils mobiles comme les téléphones et tablettes. Linux n’est pas épargné, car la série récente de correctifs portant sur des élévations locales de privilèges doit son rythme important en grande partie aux découvertes par l’IA.

Le monde de la sécurité est déjà en ébullition dans ce domaine à cause d’une hausse significative des rapports de bugs. Elle avait provoqué la colère de l’équipe derrière Ffmpeg, qui fustigeait la « bouillie » (slop) générée par l’IA et l’envoi d’un nombre si important de rapports de bugs que les vérifications devenaient humainement impossibles. Ce qui pose la question des moyens alloués à cette vérification, y compris dans les grandes entreprises comme Microsoft.

Autre question : le rythme toujours plus soutenu des découvertes, vérifications et corrections ne risque-t-il pas d’entrainer une hausse de bugs plus généraux, à cause d’effets indésirables dans les correctifs ?Les prochains mois ne seront probablement pas de tout repos.

Commentaires (6)

votre avatar
Ha bah bravo, maintenant j'ai la chanson en tête
Même pas eu besoin de faire une recherche sur les paroles, je me sens vieux...

Blague à part, j'ai l'impression que tout le monde ne reçoit pas l’entièreté des patch en même temps, on a des machines soi-disant identiques avec des comportements différents après màj (pas en sécurité, mais en perf)
votre avatar
T'as pas eu besoin de faire la recherche sur les paroles, parce que tu vas droit au coeur de l'action, quitte à être au bout de l'extrême limite. Mais bon, comment t'en vouloir, après tout, c'est ton bonheur, c'est ta passion.

:phiphi:
votre avatar
"le rythme toujours plus soutenu des découvertes, vérifications et corrections ne risque-t-il pas d’entrainer une hausse de bugs plus généraux, à cause d’effets indésirables dans les correctifs ?"

C'est vraiment pas le genre de Microsoft de créer des bugs avec leurs mises à jour. Alors avec l'utilisation des IA qui corrige des centaines de failles par semaines, on peut dormir tranquille.
votre avatar
Seul bon(?) point là-dessus: l'IA n'est pas de Microsoft
votre avatar
Nightmare Eclipse, de son côté, expliquait en être arrivé à ces extrémités à cause d’un Microsoft ayant « choisi d’aggraver la situation au lieu de la régler comme des adultes. Ils ont eu recours à toutes les manœuvres puériles possibles. Ma patience a des limites et vous faites payer tout le monde ».
Sur cette histoire, j'avoue que je suis mitigé. Les deux ont des comportements puérils (pour rester poli).

Quoi qu'il en soit, le comportement de Nightmare Eclipse a surtout mis en danger les utilisateurs plus que Microsoft lui-même. Qu'il y ait des bisbilles entre les deux ne nous regardent pas vraiment. Nightmare Eclipse a véritablement eu un comportement hyper dangereux, en ne respectant pas ce qui est la norme dans ce secteur : on prévient toujours avant, en laissant un délai raisonnable, puis on publie.

En publiant directement, sans prévenir l'éditeur (qu'importe les différents avant), il a simplement fourni une 0-day à qui le veut. C'est juste inadmissible et insupportable, et ça, c'est sa pleine responsabilité.
votre avatar
32 failles critiques d'un coup, visiblement Mythos est encore plus à l'aise pour trouver des failles dans Windows que dans Linux.