Microsoft a publié ce mardi 9 juin 2026 un lot de 206 correctifs, un volume jamais atteint en un seul mois. Le précédent sommet remontait à octobre 2025, avec 167 CVE. Les chiffres parlent d’eux-mêmes, et derrière eux se dessine une mécanique nouvelle.
Trois zero-day déjà divulguées publiquement ouvrent le bulletin, chacune avec son propre régime de risque. La CVE-2026-45586 vise le Windows Collaborative Translation Framework, ce composant qui gère les méthodes de saisie, les claviers virtuels et les échanges entre applications et champs de texte. Notée 7,8 sur l’échelle CVSS, elle suppose un accès local déjà acquis et permet alors de remonter jusqu’aux privilèges SYSTEM, c’est-à-dire de transformer un pied dans la porte en contrôle total de la machine. Le chercheur Nightmare Eclipse en avait orchestré la divulgation, aux côtés d’une seconde brèche tout aussi commentée.
La CVE-2026-50507 attaque BitLocker avec un score de 6,8 et exige une présence physique devant l’appareil. Elle permet alors de contourner le chiffrement et d’atteindre des données censées rester closes. Le correctif, selon BleepingComputer, prolonge le traitement de YellowKey, une faille de mai qui ciblait l’environnement de récupération Windows et les configurations protégées par TPM seul. Le chiffrement n’est pas cassé mathématiquement, il est simplement détourné par un chemin imprévu dans la chaîne de démarrage.
La CVE-2026-49160 ferme le trio, du côté de HTTP.sys, la pile HTTP au niveau noyau utilisée par divers services web de Windows. Baptisée HTTP/2 Bomb par les chercheurs de Calif, elle exploite l’écart entre le poids apparent d’une requête et son coût réel pour le serveur. Quelques en-têtes bien composés, un peu de compression, un jeu sur le contrôle de flux HTTP/2, et la machine ciblée réserve infiniment plus de mémoire que prévu. Le service ralentit, sature, finit par ne plus répondre.
La CVE-2026-47291 mérite pourtant une attention supérieure, elle qui culmine à 9,8 et frappe le même HTTP.sys. Là où HTTP/2 Bomb se contente d’asphyxier un service, celle-ci ouvre la voie à une exécution de code à distance. Un serveur exposé peut donc tomber sans authentification ni geste de la victime, ce qui en fait le correctif prioritaire du mois. Numerama signale deux autres failles au même seuil de gravité, la CVE-2026-45657 dans le noyau Windows et la CVE-2026-44815, toutes deux capables de faire exécuter du code arbitraire sur le réseau.
Les administrateurs d’infrastructures sur site trouveront leur compte ailleurs encore, notamment du côté d’Active Directory. La CVE-2026-47288 touche le noyau Kerberos avec un risque d’exécution de code à distance, tandis que la CVE-2026-45648, notée 8,8, vise les services de domaine AD DS. Une série de brèches Hyper-V (CVE-2026-47652, CVE-2026-45641 et CVE-2026-45607) ouvre par ailleurs des évasions de machines virtuelles, ce cauchemar des environnements virtualisés. Le client Bureau à distance figure lui aussi parmi les points sensibles, sur un scénario où l’utilisateur se connecte à un serveur piégé plutôt qu’à un service RDP laissé ouvert.
La CVE-2026-42897 referme un dossier resté en suspens depuis mai, une faille Exchange Server activement exploitée dont le premier correctif avait été contourné. Microsoft y ajoute la CVE-2026-50508, une divulgation d’informations NTLM qui ne livre pas une machine à elle seule mais nourrit volontiers une chaîne d’attaque dans les parcs encore dépendants du protocole. Le reste du bulletin aligne des élévations de privilèges côté noyau, DWM, Win32K, Winlogon, composants graphiques et BitLocker.
L’intelligence artificielle explique en grande partie cette inflation, et Microsoft le reconnaît ouvertement. La répartition donne le vertige, avec 56 exécutions de code à distance, 63 élévations de privilèges, 30 divulgations d’informations, 39 failles critiques et 167 importantes. « La boîte de Pandore a été ouverte, et à mesure que des modèles d’IA plus avancés deviennent disponibles, nous nous attendons à ce que la norme continue d’augmenter dans tous les domaines, et pas seulement pour le Patch Tuesday », avance Satnam Narang, ingénieur de recherche principal chez Tenable. Le rapprochement de l’éditeur avec Anthropic n’y est sans doute pas étranger, depuis qu’il a rejoint le 7 avril 2026 le Project Glasswing pour éprouver les capacités de cyberdéfense du modèle Mythos Preview.
Dustin Childs, responsable de la sensibilisation aux menaces à la Zero Day Initiative, pose la question sans détour. « Le nombre de CVE publiées par Microsoft cette année dépasse déjà le nombre total de CVE publiées pour toute l’année 2018 », observe-t-il, avant de supposer que bien des testeurs s’inquiètent des problèmes que ce rythme pourrait engendrer. Le précédent existe, lorsque Linus Torvalds recadrait en mai les contributeurs du noyau Linux noyés sous les doublons générés par des outils automatiques. Reste qu’à 206 correctifs ce mois-ci, la question n’est plus de savoir s’il faut mettre à jour, mais quand.
