Record historique : Microsoft corrige 622 failles dont deux zero-days activement exploitées en juillet 2026
Lysandre Beauchêne
Microsoft a publié son plus gros Patch Tuesday de l’histoire en juillet 2026, avec pas moins de 622 vulnérabilités corrigées. Ce volume est plus de trois fois supérieur au précédent record de juin (environ 200 correctifs). Parmi ces failles, deux zero-days sont déjà activement exploitées par des attaquants, ce qui place les équipes de sécurité françaises face à un défi de priorisation sans précédent.
Cette mise à jour massive intervient dans un contexte où la surface d’attaque des systèmes d’information ne cesse de croître, et où les cybercriminels exploitent chaque fenêtre de vulnérabilité. Pour les DSI et RSSI, le mois de juillet 2026 restera comme un tournant : il ne s’agit plus seulement de patcher, mais de patcher intelligemment, en se concentrant sur les menaces réelles plutôt que sur les seuls scores CVSS.
Deux zero-days à corriger en priorité absolue
CVE-2026-56164 : une élévation de privilèges dans SharePoint Server
Cette vulnérabilité touche SharePoint Server sur site. Elle permet à un attaquant non authentifié d’élever ses privilèges à distance, sans interaction utilisateur. Microsoft attribue la découverte aux équipes d’intervention de Mandiant et à l’équipe FLARE de Google, ce qui indique une exploitation active dans des attaques réelles.
« Nous avons observé que cette faille est utilisée dans des campagnes ciblant les serveurs SharePoint non patchés, en particulier dans les environnements où l’AMSI n’est pas activé en mode complet », précise le bulletin de sécurité de Microsoft.
L’urgence est d’autant plus grande que le 15 juillet 2026 marque également la fin du support étendu pour SharePoint Server 2016 et 2019. Contrairement à Windows Server ou SQL Server, ces versions ne bénéficient pas d’un programme ESU (Extended Security Updates) payant. Les organisations qui n’ont pas migré vers SharePoint Server Subscription Edition ou SharePoint Online se retrouvent donc sans correctif officiel après cette date.
En pratique, les équipes techniques doivent appliquer le correctif KB502XXXX immédiatement, puis vérifier que l’AMSI est activé en mode complet sur tous les serveurs SharePoint. Selon les retours d’incidents, cette mesure de contournement réduit significativement la surface d’attaque.
CVE-2026-56155 : une faille dans Active Directory Federation Services (AD FS)
La seconde zero-day sous attaque est CVE-2026-56155, une vulnérabilité d’élévation de privilèges locaux dans AD FS. Microsoft crédite sa propre unité DART (Detection and Response Team) pour la découverte. Bien que classée comme « locale », cette faille est critique car AD FS est le service qui signe les jetons d’authentification pour l’ensemble du parc informatique.
« Un attaquant déjà authentifié peut exploiter des contrôles d’accès faibles pour obtenir des privilèges plus élevés sur le serveur AD FS », explique le bulletin. Les détails techniques restent limités, mais Microsoft confirme que des attaques actives utilisent cette vulnérabilité.
Il est important de noter que ni CVE-2026-56164 ni CVE-2026-56155 ne figurent encore dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Microsoft a déjà attribué le statut « exploité » dans son propre guide, ce qui rend la priorisation claire : ne pas attendre l’inscription au KEV pour agir.
Une troisième zero-day divulguée mais non exploitée
CVE-2026-50661 : contournement de BitLocker par accès physique
Microsoft a également corrigé CVE-2026-50661, un contournement de BitLocker divulgué publiquement mais non exploité activement. Cette vulnérabilité nécessite un accès physique à l’appareil, ce qui la rend moins urgente à distance. Toutefois, dans le cadre d’une stratégie de défense en profondeur, il est recommandé de l’appliquer lors du cycle de maintenance mensuel.
Cette faille s’inscrit dans une série de contournements de BitLocker découverts cette année, après les attaques bitskrieg et YellowKey. Les experts en sécurité recommandent de coupler le correctif avec l’activation de la protection TPM+PIN pour renforcer la sécurité des postes de travail.
La chaîne d’attaque de Rapid7 : un correctif partiel en juillet
CVE-2026-55040 : contournement d’authentification JWT dans SharePoint
Rapid7 Labs a présenté cette vulnérabilité lors du concours Pwn2Own Berlin. Le score CVSS varie selon les sources : Rapid7 l’évalue à 5,3 (moyen), tandis que ZDI (Zero Day Initiative) le classe à 9,1 (critique). Cette divergence illustre bien les limites des scores CVSS pour la priorisation.
L’exploitation de CVE-2026-55040 nécessite une chaîne avec une autre vulnérabilité de code à distance (RCE) qui ne sera corrigée qu’en août 2026. Le correctif de juillet brise donc la chaîne, mais les administrateurs doivent rester vigilants : la faille RCE reste ouverte jusqu’au prochain Patch Tuesday.
La fin du RC4 dans Kerberos : une rupture qui peut paralyser l’authentification
Cette mise à jour marque également la fin du déploiement progressif du durcissement Kerberos contre RC4. Microsoft supprime le commutateur de contournement RC4DefaultDisablementPhase qui permettait aux administrateurs de reporter la migration. Désormais, RC4 ne fonctionnera que pour les comptes explicitement configurés pour l’utiliser.
« Toute application ou service qui demande encore des tickets Kerberos RC4 échouera après l’installation de cette mise à jour », prévient Microsoft.
Les équipes doivent suivre un ordre précis :
- Auditer les comptes de service utilisant RC4 grâce aux événements d’audit ajoutés en janvier 2026.
- Réinitialiser les mots de passe des comptes de service identifiés pour forcer la génération de clés AES.
- Appliquer le correctif une fois l’audit terminé.
- Tester les applications legacy qui pourraient être liées à RC4 par configuration.
Cette opération ne corrige pas une faille de sécurité, mais elle peut provoquer des indisponibilités si elle est négligée. Un incident de production à 2h du matin est garanti pour ceux qui auront sauté l’étape d’audit.
Analyse par famille de produits : où se cachent les risques ?
Le tableau ci-dessous détaille la répartition des 622 CVES par famille de produits, avec les vulnérabilités les plus notables.
| Famille de produits | Nombre de CVEs | Points d’attention |
|---|---|---|
| Windows | 416 | Zero-day AD FS (CVE-2026-56155), contournement BitLocker (CVE-2026-50661), RCE VMSwitch à 9,9 (CVE-2026-57092), 5 RCE DHCP, 21 bugs pilotes NTFS/ReFS |
| Office | 82 | Compté une seule fois (certaines sources doublent avec Office 2016) |
| Microsoft Edge | 46 | 21 correctifs propres à Microsoft, le reste provient de Chromium |
| Outils développeur | 27 | Contournements de fonctionnalités de sécurité dans Visual Studio, VS Code, GitHub Copilot (injections, path traversal) |
| SharePoint Server | 17 | Zero-day exploité (CVE-2026-56164), contournement Rapid7 (CVE-2026-55040), RCE critique CVE-2026-50522 à 9,8 |
| Azure | 11 | Rien d’urgent signalé |
| SQL Server | 8 | Paire de RCE : CVE-2026-54117 et CVE-2026-54118, tous deux à 8,8 |
| Defender | 5 | Deux RCE critiques |
| Exchange Server | 5 | XSS stocké dans Outlook Web Access (CVE-2026-55008) à 9,6 (classé « usurpation » par Microsoft, ce qui sous-estime le risque) |
| Autres | 5 | Rien d’urgent |
Source : Security Update Guide de Microsoft (total 622 CVEs) et analyse ZDI (621 CVEs, légère différence due au décompte).
L’automatisation de la détection : une épée à double tranchant
Microsoft a prévenu les clients cinq jours avant le Patch Tuesday, le 9 juillet 2026, en annonçant un « volume plus élevé de mises à jour de sécurité » grâce à l’IA. Le système MDASH (Multi-Model Agentic Scanning) a découvert 16 vulnérabilités lors du Patch Tuesday de mai. Le nombre exact de failles issues de ce pipeline pour juillet n’a pas été communiqué, mais l’impact est clair : plus de correctifs, plus vite.
Cette automatisation a un revers : une fois le correctif publié, les attaquants peuvent le différencier de la version précédente pour identifier la vulnérabilité et développer un exploit avant même que les organisations aient terminé leurs tests. Le fameux « délai d’une semaine » n’existe plus ; on parle désormais d’« Exploit Wednesday », soit le lendemain du Patch Tuesday.
« Avec 600 CVEs et une majorité classée Haute ou Critique, le score CVSS ne permet plus de trier efficacement », explique un analyste de ZDI. « Il faut désormais trier par ce qui est réellement exploité, en utilisant les flags de Microsoft, le KEV et l’EPSS. »
Implications pour les RSSI français
Face à ce record, les équipes de sécurité doivent adapter leur processus de gestion des correctifs. Voici une approche actionnable en quatre étapes :
- Identifier les deux zero-days exploités (CVE-2026-56164 et CVE-2026-56155) et les corriger en priorité sur tous les actifs concernés, même si le score CVSS est modéré.
- Vérifier la fin de support de SharePoint Server 2016/2019 : si vous utilisez ces versions, migrez d’urgence ou isolez les serveurs.
- Auditer Kerberos RC4 avant d’appliquer le correctif, en utilisant les événements 4769 et 4771.
- Planifier le correctif d’août pour la chaîne Rapid7 (RCE non patchée) et surveiller les publications de la CISA et de l’ANSSI.
L’ANSSI, dans son guide de gestion des correctifs, rappelle que « la priorisation doit reposer sur l’exploitation active, la criticité métier et la surface d’exposition, et non sur le seul score CVSS ». Ce Patch Tuesday de juillet 2026 en est l’illustration parfaite.
Conclusion : l’ère du patch intelligent
Le record de juillet 2026 marque un changement de paradigme : le nombre de correctifs ne cesse d’augmenter, et les scores CVSS deviennent des indicateurs insuffisants. Les deux zero-days exploités, pourtant classés « moyens », rappellent que la menace réelle ne suit pas les étiquettes.
Pour les organisations françaises, la priorité est claire : appliquer les correctifs des deux failles activement exploitées (SharePoint et AD FS) dans les 48 heures, auditer Kerberos avant le déploiement, et se préparer à un rythme de publication toujours plus soutenu. L’ère du « patcher tout, tout de suite » n’est plus tenable ; place à une stratégie de correction intelligente, basée sur les signaux d’exploitation réels.
Cet article a été rédigé à partir des informations publiées par Microsoft le 15 juillet 2026, des analyses de ZDI et des retours d’incidents de terrain. Les scores CVSS mentionnés sont ceux de Microsoft sauf indication contraire.