Microsoft corrige plus de 600 failles de sécurité avec son Patch Tuesday de juillet : du jamais vu !
Avec 622 failles corrigées, dont deux déjà exploitées par des attaquants, le Patch Tuesday de juillet 2026 est le plus massif de toute l'histoire du programme de sécurité de Microsoft. L'IA en est en partie responsable de ce record.
C'est la tradition : le deuxième mardi de chaque mois, Microsoft publie son fameux Patch Tuesday, un ensemble de correctifs pour ses différents produits et services logiciels. Celui de juillet 2026, diffusé depuis le mardi 14, restera dans les annales. Avec 622 vulnérabilités corrigées en une seule livraison, Microsoft pulvérise le précédent record qu'il venait lui-même d'établir en juin avec 206 failles. En un mois, le nombre a été multiplié par trois. Dustin Childs, responsable de la veille des menaces chez le Zero Day Initiative de Trend Micro, résume l'affaire sans détour : "Dire que c'est un record est un euphémisme. Le total cumulé depuis le début de l'année dépasse déjà tous les totaux annuels précédents."
Patch Tuesday de juillet 2026 : un record qui donne le vertige
Les 622 failles ne concernent pas seulement Windows. Si le système d'exploitation en concentre 416 à lui seul, Office en regroupe 82, le navigateur Edge 46, les outils de développement 27 et SharePoint Server 17. Sans oublier Copilot, Azure, Exchange, Active Directory et même, fait rarissime, le jeu Age of Empires II. Autrement dit, c'est l'ensemble de l'écosystème Microsoft qui est concerné – pas seulement les PC sous Windows.
Parmi cette masse de correctifs, trois failles méritent une attention particulière : ce sont des zero-days, des vulnérabilités découvertes et exploitées avant que Microsoft n'ait eu le temps de les corriger.
La première, CVE-2026-56155, touche les services de fédération Active Directory. Elle permet à un attaquant déjà présent sur un réseau d'élever ses privilèges jusqu'au niveau administrateur. La seconde, CVE-2026-56164, concerne SharePoint Server et est plus préoccupante encore : elle peut être exploitée à distance, sans authentification préalable, par n'importe quel attaquant sur le réseau. Microsoft crédite les équipes de Mandiant et Google FLARE pour sa découverte – ce qui indique qu'elle a été trouvée au cœur d'attaques réelles en cours. Les deux failles sont déjà activement exploitées et ont été ajoutées au catalogue des vulnérabilités connues de la CISA, l'agence américaine de cybersécurité, qui a fixé des délais très courts aux agences fédérales pour les corriger.
La troisième zero-day, CVE-2026-50661, permet de contourner le chiffrement BitLocker et d'accéder aux données protégées d'un ordinateur – mais uniquement avec un accès physique à la machine. Elle avait déjà été divulguée publiquement avant ce Patch Tuesday, sans exploitation active signalée.
Patch Tuesday de juillet 2026 : l'IA, accélérateur de problèmes et de solutions
Pourquoi un tel volume soudain ? Microsoft avait prévenu cinq jours avant la publication que ses outils de détection assistés par l'intelligence artificielle feraient remonter davantage de vulnérabilités. Son système MDASH, un scanner multi-agents basé sur l'IA, avait déjà trouvé à lui seul 16 des failles corrigées en mai. L'IA trouve désormais des bugs plus vite que les humains ne peuvent les corriger – d'où cette avalanche de correctifs.
Mais l'IA joue aussi dans l'autre camp. Dès qu'un correctif est publié, des attaquants peuvent analyser les différences avec la version précédente, identifier précisément la faille corrigée et construire un exploit fonctionnel avant même que la plupart des entreprises aient eu le temps d'installer la mise à jour. L'ancien conseil qui consistait à "attendre une semaine avant de patcher pour vérifier la stabilité" est désormais obsolète et potentiellement dangereux. Microsoft recommande explicitement de ne pas laisser passer plus de trois jours avant d'appliquer les mises à jour de sécurité.
À ce rythme, les experts estiment que Microsoft pourrait dépasser les 3 000 failles corrigées sur l'année 2026 – contre un précédent record annuel de 1 245 en 2020. Pour les utilisateurs particuliers, le message officiel est d'installer sans tarder la mise à jour de juillet depuis Windows Update.
Mais la réalité est plus nuancée. Les Patch Tuesday de ces derniers mois ont régulièrement introduit de nouveaux bugs en corrigeant les anciens. Patcher vite est indispensable quand des failles sont activement exploitées – et c'est le cas ici pour deux d'entre elles. Mais l'histoire a montré à plusieurs reprises que les nouvelles versions de Windows et les correctifs pouvaient poser des problèmes sur certaines machines. Et c'est encore le cas de la mise à jour KB5101650 pour Windows 11, qui affecte certains PC Dell dont Microsoft n'a pas communiqué la liste exacte, comme l'a signalé Windows Latest.
Notre conseil restera toujours le même : attendez quelques jours après la publication d'un Patch Tuesday ou d'une nouvelle version de Windows, le temps de voir si des problèmes sont signalés sur les forums spécialisés, surtout si vous devez l'installer sur une machine "citrique" utilisée pour une production quotidienne dans un cadre professionnel ou personnel. Un équilibre délicat entre prudence et urgence.
