L'équipe de réponse aux incidents de sécurité informatique du gouvernement français (CERT-FR) a émis un nouvel avis de sécurité le 29 juin 2026 concernant le navigateur Microsoft Edge. Cet avis, référencé CERTFR-2026-AVI-0811, fait état de 82 vulnérabilités affectant les versions du logiciel antérieures à 149.0.4022.96. Parmi elles, plusieurs sont qualifiées de critiques et pourraient permettre à un attaquant d'exécuter du code arbitraire à distance sur le poste de la victime.
Les failles identifiées couvrent un large spectre de risques. Le CERT-FR distingue deux grandes catégories : l'exécution de code arbitraire à distance, qui constitue une menace majeure car elle peut conduire à une prise de contrôle complète du système, et un problème de sécurité non spécifié par l'éditeur, dont la nature exacte n'a pas été précisée dans les bulletins de Microsoft. Les vulnérabilités signalées proviennent de 23 correctifs de sécurité distincts émis par Microsoft le 26 juin 2026, chacun étant associé à un identifiant CVE (Common Vulnerabilities and Exposures), comme CVE-2026-11647, CVE-2026-12028 ou CVE-2026-13021.
Mise à jour urgente recommandée
Pour se prémunir de ces risques, le CERT-FR renvoie vers les bulletins de sécurité de l'éditeur américain. La seule solution efficace consiste à appliquer sans délai la mise à jour proposée par Microsoft, qui porte le navigateur à la version 149.0.4022.96. Cette version corrige l'ensemble des vulnérabilités listées dans l'avis. Il est vivement conseillé aux utilisateurs du navigateur, qu'il s'agisse de particuliers ou d'entreprises, de vérifier que leur logiciel est bien à jour.
Contexte d'une alerte récurrente
Cet avis du CERT-FR s'inscrit dans une série d'alertes concernant Microsoft Edge. Ces derniers mois, l'agence a déjà publié plusieurs mises en garde sur des vulnérabilités massives affectant le navigateur de Microsoft, souvent par paquets de plusieurs dizaines de failles. La publication du 29 juin confirme que le logiciel reste une cible privilégiée pour les cyberattaquants, et que la réactivité des correctifs est essentielle pour limiter les risques d'exploitation.
Les autorités recommandent aux administrateurs systèmes de déployer rapidement le correctif sur l'ensemble des postes de travail, et aux utilisateurs de s'assurer que la mise à jour automatique de Microsoft Edge est activée. En l'absence de correctif, les failles pourraient être utilisées par des acteurs malveillants pour diffuser des logiciels malveillants, voler des données ou prendre le contrôle des machines.
Un bilan technique détaillé
Parmi les 82 vulnérabilités, plusieurs ont été jugées critiques par Microsoft. Le CERT-FR ne fournit pas de classement individuel dans son avis, mais renvoie aux descriptions des CVE sur le portail Microsoft Security Response Center. L'éditeur américain publie régulièrement des correctifs de sécurité pour Edge, mais le volume de cette livraison (82 correctifs en une seule mise à jour) est inhabituel et souligne la pression constante exercée sur la sécurisation des navigateurs web.
Les utilisateurs de la version stable d'Edge recevront la mise à jour automatiquement, mais il est conseillé de déclencher manuellement la recherche de mises à jour dans les paramètres du navigateur pour accélérer le processus. Les environnements professionnels gérés via des politiques de groupe ou des solutions de déploiement centralisé doivent intégrer cette nouvelle version dans leurs cycles de validation.
En conclusion, le CERT-FR insiste sur l'importance de maintenir à jour l'ensemble des logiciels exposés sur Internet, en particulier les navigateurs qui constituent la porte d'entrée principale des menaces en ligne. Le respect de cette recommandation simple permet de réduire significativement la surface d'attaque des systèmes d'information.
