Record Patch Tuesday de juillet 2026 : 622 correctifs dont deux zero-days activement exploités
Théophane Villedieu
Microsoft publie un record historique de 622 correctifs, dont deux failles zero-day déjà activement exploitées
Le Patch Tuesday de juillet 2026 restera dans les annales. Microsoft a déployé ce mois-ci 622 correctifs de sécurité, soit plus du triple du précédent record de juin qui avoisinait les 200 mises à jour. Parmi ces correctifs, deux failles zero-day font l’objet d’exploitations actives par des attaquants. Cette mise à jour massive interroge les pratiques de gestion des vulnérabilités des entreprises françaises, confrontées à un volume de correctifs sans précédent.
Pour les RSSI et les équipes SOC, la question n’est plus seulement de savoir quoi patcher, mais dans quel ordre prioriser. Avec 622 vulnérabilités à traiter, les méthodes traditionnelles de tri par score CVSS montrent leurs limites. Ce Patch Tuesday record agit comme un signal d’alarme : la surface d’attaque s’élargit, et les cybercriminels exploitent déjà les failles les plus critiques.
Les deux zero-days à corriger en priorité absolue
CVE-2026-56164 : élévation de privilèges dans SharePoint Server
La première faille activement exploitée concerne SharePoint Server. Identifiée sous le code CVE-2026-56164, cette vulnérabilité permet à un attaquant non authentifié d’élever ses privilèges à distance sur le réseau, sans aucune interaction utilisateur. Microsoft attribue sa découverte aux équipes d’incident response de Mandiant et à Google FLARE Team, ce qui indique une détection lors d’attaques en cours.
“Si vous exploitez SharePoint Server en mode auto-hébergé, ce correctif doit être déployé en premier. Le timing est d’autant plus critique que SharePoint Server 2016 et 2019 atteignent aujourd’hui la fin de leur support étendu, sans programme ESU (Extended Security Updates) de rattrapage.” - Équipe sécurité Microsoft
Au-delà du correctif lui-même, Microsoft recommande d’activer AMSI en mode Full sur le serveur pour atténuer l’impact de l’attaque. Cette recommandation fait suite à la chaîne d’exploitation ToolShell qui avait ciblé des serveurs SharePoint non patchés en 2025, démontrant la persistance de l’intérêt des attaquants pour cette plateforme.
CVE-2026-56155 : contournement dans Active Directory Federation Services
La seconde faille zero-day, CVE-2026-56155, concerne Active Directory Federation Services (AD FS). Cette vulnérabilité permet à un attaquant déjà authentifié d’élever ses privilèges localement via des contrôles d’accès insuffisants. L’unité DART (Detection and Response Team) de Microsoft, spécialisée dans l’incident response, a été créditée de sa découverte.
Bien que Microsoft qualifie cette faille de “locale”, son impact potentiel est considérable. AD FS est le service qui signe les jetons d’authentification pour l’ensemble du parc informatique. Une compromission de ce service peut permettre à un attaquant de contrefaire des jetons d’authentification et d’accéder à l’ensemble des ressources protégées.
| Critère | CVE-2026-56164 (SharePoint) | CVE-2026-56155 (AD FS) |
|---|---|---|
| Type | Élévation de privilèges | Élévation de privilèges |
| Authentification requise | Non | Oui (déjà authentifié) |
| Vecteur d’attaque | Réseau | Local |
| Score CVSS | Moyen | Moyen |
| Statut CISA KEV | Non listé | Non listé |
| Source de découverte | Mandiant, Google FLARE | Microsoft DART |
“Aucune des deux failles n’est encore répertoriée dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA. Microsoft a déjà marqué les deux comme exploitées dans son propre système d’évaluation. N’attendez pas une inscription KEV pour agir.” - Note aux administrateurs
Les limites du scoring CVSS face à 622 correctifs
Pourquoi le score CVSS ne suffit plus
Avec 622 vulnérabilités à traiter, le score CVSS traditionnel perd de sa pertinence. Les deux failles zero-day de ce mois illustrent parfaitement ce paradoxe : ni l’une ni l’autre n’affiche un score critique supérieur à 9.0, pourtant elles sont déjà exploitées activement. Microsoft elle-même reconnaît que l’étiquette de sévérité n’est pas le critère de tri pertinent ce mois-ci.
Dans la pratique, les équipes sécurité doivent désormais s’appuyer sur une combinaison de critères pour prioriser leurs correctifs :
- Le flag ’exploité’ de Microsoft : indicateur direct d’une menace active
- Le score EPSS (Exploit Prediction Scoring System) : probabilité statistique d’exploitation
- Le catalogue KEV de la CISA : vulnérabilités connues pour être exploitées
- La criticité fonctionnelle du système : importance du service dans l’infrastructure
Une troisième zero-day divulguée mais non exploitée
Microsoft a également corrigé CVE-2026-50661, un contournement de BitLocker nécessitant un accès physique à l’appareil. Bien que cette faille ait été divulguée publiquement, elle n’est pas activement exploitée et ne nécessite pas de priorité d’urgence. Elle s’inscrit dans une série de contournements BitLocker, incluant les vulnérabilités bitskrieg et YellowKey découvertes plus tôt cette année.
La chaîne d’attaque SharePoint : un correctif en deux temps
Le correctif de juillet brise la chaîne, mais la RCE arrive en août
Un cas d’école illustre la complexité des correctifs modernes. Rapid7 Labs a divulgué CVE-2026-55040, un contournement d’authentification JWT découvert lors de leur participation au concours Pwn2Own Berlin. Cette vulnérabilité permet de contourner l’authentification sur SharePoint Server.
Le désaccord sur le score est frappant : Rapid7 l’évalue à 5.3 (moyen), tandis que ZDI (Zero Day Initiative) le qualifie de critique à 9.1. Ce qui n’est pas contesté, c’est que Rapid7 a enchaîné cette faille à une vulnérabilité d’exécution de code à distance (RCE) distincte pour obtenir une RCE non authentifiée. Or, la partie RCE de cette chaîne ne sera corrigée qu’en août.
“Un écart de quatre points sur le score d’une même vulnérabilité illustre parfaitement ce que vaut un score CVSS ce mois-ci.” - ZDI, juillet 2026
Le correctif de juillet brise la chaîne d’attaque en supprimant le maillon d’authentification, mais les administrateurs devront rester vigilants jusqu’au correctif RCE d’août.
La fin du support RC4 dans Kerberos : attention aux pannes d’authentification
Une migration achevée après plusieurs années
Ce Patch Tuesday marque également l’achèvement de la migration Kerberos entamée par Microsoft en janvier. Le correctif de juillet supprime le commutateur de rollback RC4DefaultDisablementPhase, qui permettait aux administrateurs de conserver temporairement le support RC4.
Désormais, RC4 ne fonctionnera que pour les comptes explicitement configurés pour l’utiliser. Tout compte de service qui demande encore des tickets Kerberos RC4 peut voir son authentification échouer immédiatement après l’installation du correctif.
Les étapes à suivre pour éviter les pannes :
- Auditer les comptes de service utilisant RC4 via les journaux d’audit ajoutés par Microsoft en janvier
- Réinitialiser les mots de passe des comptes de service identifiés, ce qui force Windows à générer des clés AES
- Corriger après vérification que tous les comptes disposent bien de clés AES
- Tester les applications legacy qui pourraient dépendre exclusivement de RC4
Cette migration ne présente pas de risque de sécurité direct, mais peut provoquer des indisponibilités de services si elle n’est pas préparée.
Répartition des 622 correctifs par famille de produits
Un record porté par l’automatisation
Microsoft avait prévenu le 9 juillet : l’entreprise annonçait une ‘augmentation du volume de mises à jour de sécurité’ grâce à l’intelligence artificielle qui l’aide à découvrir davantage de vulnérabilités. Le système MDASH (Multi-model Detection and Automated Security Hunting) a déjà permis de découvrir 16 vulnérabilités lors du Patch Tuesday de mai.
Windows représente à lui seul 416 correctifs, soit les deux tiers du total. Voici la répartition détaillée par famille de produits :
| Famille de produits | Nombre de CVEs | Éléments notables |
|---|---|---|
| Windows | 416 | Zero-day AD FS (CVE-2026-56155), BitLocker bypass (CVE-2026-50661), RCE VMSwitch à 9.9 (CVE-2026-57092), 5 RCE DHCP, 21 bugs driver NTFS/ReFS |
| Office | 82 | Comptés une seule fois (certaines sources rapportent 164 en doublant Office 2016) |
| Microsoft Edge | 46 | 21 correctifs propres à Microsoft, le reste Chromium |
| Developer Tools | 27 | Contournements de fonctionnalités de sécurité dans Visual Studio, VS Code, GitHub Copilot |
| SharePoint Server | 17 | Zero-day exploité (CVE-2026-56164), contournement Rapid7 (CVE-2026-55040), RCE critique à 9.8 (CVE-2026-50522) |
| Azure | 11 | Rien d’urgent signalé |
| SQL Server | 8 | Paire RCE CVE-2026-54117 et CVE-2026-54118, tous deux à 8.8 |
| Defender | 5 | Deux RCE critiques |
| Exchange Server | 5 | XSS stocké dans Outlook Web Access (CVE-2026-55008, 9.6) |
| Autres | 5 | Rien d’urgent signalé |
Implications pour la gestion des correctifs en entreprise
L’automatisation accélère la découverte… et l’exploitation
L’automatisation qui permet à Microsoft de découvrir davantage de vulnérabilités a un revers. Une fois le correctif publié, les attaquants peuvent le comparer à la version précédente pour identifier la faille corrigée et développer un exploit fonctionnel. Ce phénomène, connu sous le nom d’Exploit Wednesday (par opposition au Patch Tuesday), réduit considérablement la fenêtre de sécurité dont disposent les entreprises pour tester et déployer les correctifs.
“L’automatisation réduit le délai de grâce traditionnel d’une semaine. Les attaquants peuvent désormais diffuser le correctif contre la version précédente, trouver le bug qu’il corrige et construire un exploit fonctionnel avant que la plupart des entreprises aient terminé leurs tests.” - Analyse de sécurité
Dans ce contexte, les recommandations pour les équipes sécurité évoluent :
- Trier par menace réelle, pas par score : utiliser le flag ’exploité’ de Microsoft, EPSS et KEV comme critères principaux
- Accélérer le cycle de déploiement : réduire le délai entre publication et déploiement des correctifs critiques
- Automatiser les tests : utiliser des environnements de test automatisés pour valider rapidement les correctifs
- Segmenter les priorités : traiter en premier les systèmes exposés et critiques (AD FS, SharePoint, Exchange)
- Maintenir une veille active : surveiller les publications de Microsoft, ZDI et Rapid7 pour anticiper les chaînes d’attaque
Conclusion : anticiper un volume de correctifs en croissance continue
Le Patch Tuesday de juillet 2026 n’est pas une anomalie. Microsoft a clairement indiqué que le volume de correctifs continuerait d’augmenter grâce à l’IA et à l’automatisation. Les 622 correctifs de ce mois constituent un record, mais probablement pas le dernier.
Pour les entreprises françaises, la leçon est claire : les méthodes traditionnelles de gestion des correctifs, basées sur le score CVSS et un cycle mensuel, ne sont plus adaptées. L’approche doit évoluer vers une priorisation dynamique basée sur la menace réelle, une automatisation des tests et un déploiement accéléré des correctifs critiques.
Les deux zero-day activement exploités de ce mois démontrent que les attaquants n’attendent pas. Les équipes sécurité non plus. La question n’est plus de savoir si une vulnérabilité sera exploitée, mais quand, et si l’organisation sera prête à réagir.
En pratique, commencez par auditer vos serveurs SharePoint et AD FS, déployez les correctifs des deux zero-day en priorité, et préparez-vous à un volume croissant de mises à jour. Le nombre sur la boîte ne fera qu’augmenter.