Trois nouvelles vulnérabilités Microsoft Azure signalées par le CERT-FR

Le service gouvernemental français chargé de la surveillance des menaces informatiques a publié un avis de sécurité concernant de multiples vulnérabilités récemment découvertes dans l'offre cloud Microsoft Azure. Ces failles, identifiées sous les références CVE-2026-32193, CVE-2026-41098 et CVE-2026-47643, présentent des risques de contournement des politiques de sécurité et d'exécution de code arbitraire à distance.

Deux composants sont spécifiquement visés par ces vulnérabilités. D'une part, Azure Kubernetes Service, dans ses versions antérieures à la mouture v0.20260213.5. D'autre part, Azure Stack Edge, pour les versions antérieures au numéro 3.3.2604.3097. Les correctifs nécessaires ont été publiés par l'éditeur Microsoft.

Trois failles distinctes

Les bulletins de sécurité diffusés par Microsoft le 9 juin 2026 détaillent les trois vulnérabilités. Les informations disponibles indiquent que celles-ci peuvent être exploitées par un attaquant pour parvenir à exécuter du code arbitraire à distance sur les systèmes concernés, ou pour contourner des mécanismes de protection. La gravité exacte de chaque faille n'est pas précisée dans l'avis, mais la combinaison des risques annoncés suggère un niveau de priorité élevé pour les administrateurs.

Recommandations immédiates

Le CERT-FR invite les organisations utilisant ces services à appliquer sans délai les correctifs fournis par l'éditeur. Il renvoie pour cela aux bulletins de sécurité Microsoft Accessibles via les liens mentionnés dans sa documentation. Aucune alternative de contournement n'est proposée en attendant la mise à jour, ce qui renforce l'urgence de la procédure de correction.

Contexte de publications récurrentes

Cet avis s'inscrit dans une série de communications régulières de l'agence française sur la sécurité de l'environnement Azure. Au cours des dernières semaines, le CERT-FR avait déjà signalé d'autres failles affectant la plateforme, notamment une vulnérabilité permettant une élévation de privilèges fin mai, puis une nouvelle faille de sécurité début juin. La publication du 10 juin 2026 constitue donc un troisième avertissement en l'espace d'environ quinze jours, soulignant la vigilance continue des autorités face aux risques pesant sur les infrastructures cloud largement déployées.

Procédure de mise à jour

Les administrateurs systèmes sont invités à vérifier les versions de leurs déploiements Azure Kubernetes Service et Azure Stack Edge. Pour le service Kubernetes managé, la version minimale sécurisée est la v0.20260213.5. Pour les appliances Azure Stack Edge, le correctif correspond à la version 3.3.2604.3097. Les mises à jour doivent être appliquées selon les procédures habituelles de l'éditeur, via les canaux de mise à jour officiels.

Implications pour les entreprises

L'exécution de code arbitraire à distance constitue l'un des risques les plus graves en matière de cybersécurité, car elle peut permettre à un attaquant de prendre le contrôle d'un système sans intervention de l'utilisateur. Combinée à un contournement de politique de sécurité, une telle faille pourrait compromettre la confidentialité, l'intégrité et la disponibilité des données traitées par les services concernés. Les organisations hébergeant des charges de travail critiques sur Azure Kubernetes Service ou utilisant Azure Stack Edge pour des traitements en périphérie de réseau sont particulièrement exhortées à prioriser cette mise à jour.

Microsoft Azure : trois nouvelles vulnérabilités identifiées par le CERT-FR

Évolution du sujet

À lire ensuite

Apple déploie des outils de retouche photo par IA dans l'application Photos d'iOS 27

Arch Linux : l'incident de sécurité touche finalement plus de 1 500 paquets de l'AUR, les correctifs déployés

Désaccord entre Dassault et Airbus : Dassault réclame une compensation sur le programme Eurodrone

Un robot tondeuse au rapport qualité-prix agressif : le Mova LiDAX Ultra 1600 sous les 1 000 euros