Microsoft corrige 206 vulnérabilités en juin 2026, un record lié à l’IA

11 juin 2026 0 Par eternos974

Le Patch Tuesday de juin 2026 a marqué un tournant inédit dans l’histoire de la sécurité informatique. Microsoft a corrigé 206 vulnérabilités en un seul mois, un record absolu qui soulève autant de questions que de préoccupations. À l’origine de ce pic, l’IA. Selon les experts, les outils d’analyse assistée par intelligence artificielle ont permis de détecter un volume et une diversité de failles jamais atteints auparavant. Une tendance qui, selon Satnam Narang, ingénieur de recherche chez Tenable, « ouvre la boîte de Pandore » et pourrait devenir la norme.

La collaboration entre Microsoft et Anthropic via le projet Glasswing joue un rôle clé. En avril 2026, Microsoft s’est associé à Mythos Preview, le modèle le plus avancé de la société mère de Claude. Cette alliance a permis d’améliorer la détection de vulnérabilités, avec des gains de vitesse et de précision. Cependant, le volume de correctifs soulève une interrogation : comment garantir la qualité des correctifs générés par l’IA ? Dustin Childs, de TrendAI’s Zero Day Initiative, souligne que le nombre de CVE publiées par Microsoft cette année dépasse déjà celui de toute l’année 2018. Un défi de taille pour les équipes de sécurité.

Parmi les failles critiques, RoguePlanet a fait sensation. Découverte quelques heures après le Patch Tuesday, cette vulnérabilité permet à un attaquant de prendre le contrôle total d’un système Windows, même avec les dernières mises à jour installées. L’exploit repose sur un timing précis : en injectant du code malveillant pendant l’analyse par Microsoft Defender, un attaquant peut obtenir des droits SYSTEM sans mot de passe. Une faille qui rappelle le précédent BlueHammer, corrigée en avril 2026, mais dont la classe de vulnérabilité persiste.

Le cas de RoguePlanet illustre les limites des correctifs actuels. La seule mitigation validée est l’allowlisting applicatif, une solution inaccessible à la plupart des utilisateurs. Microsoft n’a pas encore publié de correctif ni d’identifiant CVE pour cette vulnérabilité, laissant les utilisateurs dans l’incertitude. Alors que l’IA continue de révolutionner la détection de failles, la question de la vulnérabilité des systèmes reste ouverte. Et si la prochaine génération de correctifs doit encore plus de temps à l’IA ?