Patch Tuesday de juin 2026 : Microsoft corrige 198 failles, un record historique

Un nombre de correctifs jamais atteint

Le deuxième mardi de juin 2026, Microsoft a déployé son traditionnel lot de mises à jour de sécurité, communément appelé « Patch Tuesday ». Ce mois-ci, l'éditeur a corrigé 198 vulnérabilités dans Windows, un chiffre inédit qui dépasse le précédent record d'octobre 2025 (167 failles). Selon un ingénieur de l'entreprise Tenable, Satnam Narang, Microsoft explique cette hausse par l'utilisation croissante de l'intelligence artificielle générative dans la détection de failles.

Trois zero-day, dont une déjà exploitée

Parmi les brèches colmatées figurent trois vulnérabilités de type zero-day, c'est-à-dire déjà connues et exploitées par des attaquants avant la publication du correctif. La première, baptisée « YellowKey », vise le chiffrement BitLocker. Un assaillant disposant d'un accès physique à un ordinateur peut contourner la protection en insérant une clé USB contenant des fichiers spécialement conçus et en démarrant la machine via l'environnement de récupération Windows. La faille permet d'accéder à des données normalement verrouillées par BitLocker, principalement sur les ordinateurs utilisant le mode « TPM uniquement », configuration par défaut de Windows 11. Découverte par un chercheur se présentant sous le pseudonyme Nightmare-Eclipse, la vulnérabilité avait été divulguée publiquement avec une méthode d'exploitation avant que Microsoft ne puisse réagir. En attendant le correctif désormais déployé, l'éditeur avait recommandé en urgence d'activer l'authentification TPM+PIN pour limiter les risques.

La deuxième zero-day, « GreenPlasma », a également été identifiée par le même chercheur. Elle se situe dans le composant Windows CTFMON, qui gère les différentes méthodes de saisie de texte. L'exploitation de cette faille permet à un pirate d'exécuter du code avec les privilèges système les plus élevés, prenant ainsi le contrôle total de la machine, sans intervention de l'utilisateur. Nightmare-Eclipse a également publié une technique d'exploitation pour cette brèche.

Protocole HTTP/2 et 55 failles d'exécution de code à distance

La troisième zero-day corrigée concerne le protocole HTTP/2. En envoyant une très petite quantité de données, un attaquant peut contraindre un serveur à allouer une quantité excessive de mémoire, provoquant un ralentissement ou un arrêt complet du service. Pour contrer cette menace, Microsoft a introduit un nouveau paramètre de registre Windows.

Au total, 55 des 198 failles relèvent de l'exécution de code à distance, une catégorie particulièrement dangereuse car elle permet potentiellement de prendre le contrôle d'un ordinateur sans action de l'utilisateur. Parmi les composants les plus affectés, le client Bureau à distance totalise à lui seul onze vulnérabilités critiques.

Des correctifs également pour les composants Azure Linux

Bien que le Patch Tuesday de juin 2026 soit principalement associé à Windows, les correctifs de sécurité publiés ce mois-ci incluent aussi des mises à jour pour des composants destinés à Azure Linux, la distribution Linux de Microsoft pour son cloud. Ces patchs viennent compléter une série de correctifs déjà déployés au cours des semaines précédentes, dans le cadre d'un effort continu de sécurisation des infrastructures cloud.