Microsoft a déployé ce mois-ci l’un des plus importants lots de correctifs de sécurité de son histoire, avec près de 200 vulnérabilités corrigées dans ses systèmes d’exploitation Windows et ses logiciels associés. Ce volume record, qui dépasse les Patch Tuesday précédents, intervient dans un contexte où l’intelligence artificielle est de plus en plus utilisée pour détecter des failles, aussi bien par les équipes de l’entreprise que par la communauté des chercheurs.

Parmi ces failles, trois ont été classées comme zero-day, c’est-à-dire déjà connues et exploitées par des pirates avant la publication du correctif. La première, référencée CVE-2026-49160, concerne un déni de service affectant plusieurs serveurs web, dont les services Internet Information Services (IIS) de Microsoft. Cette vulnérabilité a été signalée par Codex, l’outil d’OpenAI, selon les informations divulguées par l’éditeur.

Deux autres zero-day proviennent de travaux réalisés par un chercheur en sécurité utilisant le pseudonyme Nightmare Eclipse. Ce dernier se présente comme un ancien employé de Microsoft, bien que l’entreprise n’ait pas confirmé cette affirmation. Il a publié des exploits pour des failles d’élévation de privilèges, notamment dans le Collaborative Translation Framework de Windows (CVE-2026-45586, surnommé « GreenPlasma ») et dans BitLocker (CVE-2026-50507). Un autre de ses exploits, « YellowKey », permet à un attaquant ayant un accès physique à un appareil de consulter des données chiffrées. Microsoft a reçu des critiques en ligne après avoir évoqué la possibilité de poursuites judiciaires contre ce chercheur, avant de préciser qu’elle ne visait pas les chercheurs de bonne foi mais qu’elle signalerait aux autorités toute infraction à la loi.

Un volume de correctifs qui pourrait devenir la norme

Selon Satnam Narang, chercheur principal chez Tenable, le recours massif à l’intelligence artificielle par les professionnels de la sécurité – certains sondages évoquent un taux d’utilisation de 90 % – explique en partie cette inflation du nombre de patchs. « La boîte de Pandore est ouverte, et à mesure que des modèles d’IA plus avancés seront disponibles, nous nous attendons à ce que la tendance se poursuive à la hausse, pas seulement pour les Patch Tuesday » , a-t-il commenté.

Par ailleurs, Adam Barnett de Rapid7 souligne que le total réel des vulnérabilités corrigées ce mois-ci est bien plus élevé si l’on inclut les failles des navigateurs. Microsoft a en effet publié des correctifs pour 360 vulnérabilités Chromium, sans les intégrer dans le décompte officiel du Patch Tuesday, et a cessé d’énumérer ces CVE dans son guide de mise à jour. Le mois de juin a également vu Google corriger 429 failles dans Chrome, et Adobe publier des mises à jour critiques pour plusieurs de ses produits.

Une faille dans Visual Studio Code et des fuites de jetons GitHub

Microsoft a également dû colmater en urgence, le 3 juin, une vulnérabilité zero-day dans Visual Studio Code permettant le vol de jetons GitHub en un seul clic. Un chercheur avait rendu publique une méthode d’exploitation après avoir affirmé que Microsoft avait corrigé silencieusement un précédent rapport sans lui accorder de crédit. Cette situation illustre les tensions récurrentes entre certains chercheurs et l’éditeur.

Par ailleurs, l’entreprise a été confrontée à une contamination de ses propres dépôts de code publics par le ver Shai-Hulud, affectant au moins 72 repositories liés au SDK Azure Durable Task. Une variante de ce ver avait déjà frappé le même SDK en mai.

Recommandations aux utilisateurs

Les experts conseillent de sauvegarder les données avant d’installer les mises à jour. Les correctifs sont disponibles via Windows Update et le catalogue Microsoft. Les administrateurs doivent porter une attention particulière aux correctifs de BitLocker, IIS et Windows Defender, ce dernier ayant fait l’objet d’un exploit publié par Nightmare Eclipse immédiatement après la sortie des patchs. Le chercheur a promis de divulguer de nouvelles vulnérabilités le 14 juillet, date du prochain Patch Tuesday.