**Microsoft** a déployé ses mises à jour du **Patch Tuesday de juin 2026**, une publication critique corrigeant un total de 200 vulnérabilités de sécurité. Parmi celles-ci, 33 sont classées comme "Critiques", incluant 28 failles d'exécution de code à distance (RCE), quatre vulnérabilités d'élévation de privilèges (EoP) et une faille de divulgation d'informations. La mise à jour de ce mois-ci s'attaque également spécifiquement à trois vulnérabilités zero-day divulguées publiquement, dont aucune n'est actuellement connue pour avoir été exploitée dans des attaques actives. Il est important de noter que ce décompte couvre exclusivement les vulnérabilités corrigées par **Microsoft** aujourd'hui. Il exclut les correctifs pour **Mariner**, **Azure HorizonDB**, **Microsoft Copilot**, **Copilot Chat**, **M365 Copilot**, **Microsoft Exchange Online** et **Microsoft Graph** qui ont été traités plus tôt dans le mois. De plus, 360 failles massives de **Microsoft Edge**/**Chromium** corrigées par **Google** ce mois-ci sont également exclues de ce résumé particulier. ## Le paysage des Zero-Days Ce **Patch Tuesday** met en lumière trois vulnérabilités zero-day divulguées publiquement, soulignant les défis constants en matière de sécurité logicielle. **Microsoft** définit un zero-day comme une faille qui est divulguée publiquement ou activement exploitée avant qu'un correctif officiel ne soit disponible. ### Windows CTFMON : Un chemin vers les privilèges SYSTEM Un zero-day important corrigé est une vulnérabilité **Windows CTFMON** qui pourrait accorder des privilèges SYSTEM à un attaquant local. Décrite par **Microsoft** comme une "résolution de lien incorrecte avant l'accès au fichier ('suivi de lien') dans le **Windows Collaborative Translation Framework**", cette faille permet à un attaquant autorisé d'élever ses privilèges localement. La vulnérabilité a été attribuée à un chercheur anonyme, sans plus de détails sur sa divulgation. ### HTTP/2 Bomb : Une nouvelle menace DoS Un autre correctif critique aborde une faille de déni de service (DoS) **HTTP/2** divulguée publiquement, surnommée la "**HTTP/2 Bomb**". Cette vulnérabilité, révélée par des chercheurs de la société de sécurité offensive **Calif** (notamment Quang Luong et Codex), exploite la consommation incontrôlée de ressources dans **HTTP/2** pour permettre à un attaquant non autorisé de refuser le service sur un réseau. L'attaque **HTTP/2 Bomb** exploite la manière dont le protocole **HTTP/2** compresse et gère les en-têtes de trafic web. Les attaquants peuvent envoyer des données minimales pour forcer les serveurs à allouer des quantités de mémoire disproportionnellement importantes, ce qui peut entraîner des problèmes de performance ou des pannes complètes. Pour atténuer cela, **Microsoft** a introduit un nouveau paramètre de registre `MaxHeadersCount`, qui limite le nombre d'en-têtes dans une requête **HTTP/2** ou **HTTP/3**, ainsi qu'un bulletin de support (KB5102602) détaillant sa mise en œuvre. ### Contournement de BitLocker : La vulnérabilité YellowKey Le troisième zero-day corrige une faille de contournement de **Windows BitLocker**, permettant aux attaquants locaux d'accéder sans autorisation à des lecteurs chiffrés. Bien que **Microsoft** ait attribué ce correctif à un chercheur anonyme, il a été identifié comme la vulnérabilité **YellowKey**, divulguée publiquement le mois dernier par le chercheur en cybersécurité **Nightmare Eclipse**. La vulnérabilité **YellowKey** pourrait être exploitée en plaçant des fichiers spécialement conçus sur une clé USB ou une partition EFI et en démarrant dans l'**Environnement de récupération Windows (WinRE)**. Maintenir la touche CTRL enfoncée pendant ce processus pourrait déclencher une invite de commande avec un accès illimité aux lecteurs protégés par **BitLocker**. Cette faille affecte principalement les systèmes utilisant la protection **BitLocker TPM uniquement** sur les appareils **Windows 11** et **Windows Server 2022/2025**. **Microsoft** avait précédemment proposé des atténuations temporaires, conseillant aux utilisateurs d'activer l'authentification **TPM+PIN** au lieu de se fier uniquement à la protection TPM. **Nightmare Eclipse** est connu pour avoir divulgué publiquement une série de vulnérabilités zero-day **Windows**, notamment **BlueHammer**, **MiniPlasma**, **RedSun** et **UnDefend**. Ces divulgations seraient une protestation contre la gestion par **Microsoft** de ses programmes de bug bounty et de divulgation de vulnérabilités. ## Au-delà des Zero-Days : Vulnérabilités Critiques Au-delà des zero-days très médiatisés, ce **Patch Tuesday** inclut des correctifs pour de nombreuses autres vulnérabilités critiques. Les 28 failles d'exécution de code à distance sont particulièrement préoccupantes, car elles pourraient permettre aux attaquants d'exécuter du code arbitraire sur les systèmes affectés à distance, souvent sans interaction de l'utilisateur. Les professionnels de la sécurité sont invités à prioriser ces mises à jour pour prévenir une compromission potentielle du réseau. ## Appel à l'action Compte tenu de l'étendue et de la gravité des vulnérabilités corrigées, il est fortement conseillé aux professionnels de la sécurité informatique et aux utilisateurs soucieux de leur vie privée d'appliquer immédiatement ces mises à jour du **Patch Tuesday de juin 2026**. Le patching en temps opportun reste la défense la plus efficace contre l'exploitation par les acteurs malveillants.