Plus de 200 failles corrigées, trois zero-day déjà publiques et plusieurs vulnérabilités à surveiller de près : Microsoft livre un Patch Tuesday pour le moins copieux.
Microsoft n’aura pas fait dans la demi-mesure pour son Patch Tuesday du mois de juin. L’éditeur annonce avoir corrigé plus de 200 vulnérabilités dans Windows, Office, Exchange, SharePoint, Visual Studio Code, RDP, BitLocker, Secure Boot, HTTP.sys et plusieurs services associés. Dans le lot, trois zero-day déjà divulguées publiquement, mais aussi plusieurs failles qui, sans être officiellement exploitées aujourd’hui, pourraient rapidement donner lieu à des exploits. Vous savez donc ce qu’il vous reste à faire.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Trois failles déjà documentées, trois risques très différents
Dans le détail, la première zero-day concerne Windows lui-même. CVE-2026-45586 touche le Windows Collaborative Translation Framework, l’un des composants utilisés par le système pour gérer les méthodes de saisie, les langues, les claviers virtuels ou certaines interactions entre applications et champs de texte. Notée 7,8 sur l’échelle CVSS, la faille peut permettre à un attaquant disposant déjà d’un accès local d’obtenir des privilèges SYSTEM. Elle ne permet donc pas de compromettre un PC à distance, mais peut transformer un premier accès limité en prise de contrôle plus complète.
La deuxième, CVE-2026-49160, concerne HTTP.sys, la pile HTTP de Windows utilisée par certains serveurs et services web. Notée 7,5, elle permet de provoquer un déni de service via HTTP/2. Baptisée HTTP/2 Bomb par les chercheurs de Calif, la faille exploite un décalage entre la taille apparente des requêtes et leur coût réel pour le serveur. Concrètement, des requêtes modestes côté attaquant peuvent, en jouant sur les en-têtes, la compression et le contrôle du flux HTTP/2, forcer la machine ciblée à réserver et mobiliser beaucoup plus de mémoire que prévu. À force, le service ralentit, sature ou finit par ne plus répondre.
CVE-2026-50507, enfin, touche BitLocker et affiche un score CVSS de 6,8. Elle suppose un accès physique à l’appareil, mais peut permettre à une personne non autorisée de contourner la protection du chiffrement et d’accéder à des données censées rester protégées. D’après BleepingComputer, le correctif serait lié à YellowKey, une faille divulguée en mai qui visait l’environnement de récupération Windows et les configurations protégées par TPM seul.
Des vulnérabilités qui pourraient vite attirer les cybercriminels
En parallèle de ces trois vulnérabilités, Microsoft classe aussi plusieurs failles comme plus susceptibles d’être exploitées, non parce qu’elles seraient déjà utilisées aujourd’hui, mais parce que leur profil peut attirer rapidement des attaquants.
La plus sensible, CVE-2026-47291, concerne une faille critique dans HTTP.sys, notée 9,8 sur l’échelle CVSS. Contrairement à HTTP/2 Bomb, qui peut faire tomber un service, celle-ci peut permettre une exécution de code à distance. Un serveur exposé pourrait donc être compromis sans authentification ni action de la victime, ce qui en fait l’un des correctifs prioritaires du mois.
Le client Bureau à distance fait aussi partie des composants à surveiller. Une ribambelle de failles RDP corrigées ce mois-ci reposent sur un scénario dans lequel un utilisateur ou une utilisatrice se connecte à un serveur malveillant. Le danger ne résulte donc pas d’un serveur RDP ouvert aux quatre vents, mais d’une connexion sortante vers une machine piégée.
Microsoft corrige également CVE-2026-50508, une faille NTLM de divulgation d’informations. Elle ne donne pas forcément le contrôle d’un système à elle seule, mais peut fournir des éléments utiles dans une chaîne d’attaque, surtout dans les environnements qui dépendent encore de ce protocole pour des raisons de compatibilité.
Le reste du bulletin fait état de plusieurs élévations de privilèges dans Windows, notamment côté noyau, DWM, Win32K, Winlogon, composants graphiques et BitLocker. Moins visibles qu’une exécution de code à distance, ces failles peuvent permettre de prendre plus de droits après un premier accès. À vos mises à jour, donc.
Une zero-day est une vulnérabilité pour laquelle aucun correctif n’était disponible au moment où elle a été découverte ou révélée. Quand elle est « divulguée publiquement », des détails techniques peuvent circuler (preuve de concept, conditions d’exploitation), ce qui accélère la création d’exploits. Même si elle n’est pas encore observée « exploitée dans la nature », la fenêtre de risque se réduit car les attaquants disposent d’informations exploitables. Dans le cas d’une élévation de privilèges locale (passage à SYSTEM), la faille sert souvent d’étape pour transformer un accès limité (compte standard, session compromise) en contrôle complet de la machine.
Qu’est-ce que HTTP.sys dans Windows, et en quoi une attaque HTTP/2 de type « Bomb » diffère d’une exécution de code à distance ?HTTP.sys est la pile HTTP au niveau noyau de Windows, utilisée par certains services et serveurs web pour traiter des requêtes sans passer uniquement par une application utilisateur. Une attaque « HTTP/2 Bomb » vise typiquement un déni de service : l’attaquant envoie des requêtes peu coûteuses à produire, mais qui forcent le serveur à consommer disproportionnellement des ressources (mémoire/CPU) via des mécanismes HTTP/2 (en-têtes, compression, contrôle de flux). Résultat attendu : ralentissement, saturation, voire indisponibilité du service, sans prise de contrôle directe. À l’inverse, une vulnérabilité d’exécution de code à distance (RCE) permet potentiellement d’exécuter du code arbitraire sur la machine cible, donc de la compromettre, souvent avec un impact bien plus critique.
Pourquoi une faille BitLocker liée au TPM et à l’environnement de récupération Windows peut compromettre des données malgré le chiffrement ?BitLocker chiffre le disque, mais l’accès aux données dépend aussi du scénario de déverrouillage (TPM seul, TPM + PIN, clé de récupération, etc.). Le TPM (Trusted Platform Module) peut déverrouiller automatiquement le disque si certaines conditions d’intégrité du démarrage sont remplies, ce qui facilite l’usage mais réduit la résistance face à certains accès physiques. L’environnement de récupération Windows (WinRE) et la chaîne de démarrage constituent des points sensibles : s’ils sont contournés ou manipulés, un attaquant présent physiquement peut parfois obtenir un déverrouillage ou extraire des éléments permettant d’accéder aux données. Dans ce type de cas, le chiffrement n’est pas « cassé » mathématiquement, mais la protection est contournée par un chemin d’accès imprévu dans le processus de boot/récupération.
