Cinq cent soixante-dix correctifs un seul mardi

Le Microsoft Security Response Center a publié sa mise à jour de juillet le mardi 14 juillet, et la liste ne s'est pas arrêtée là où on l'attendait. Microsoft a corrigé 570 vulnérabilités en une seule livraison. Son record précédent, établi six semaines plus tôt en juin, était de 206. Cinquante-neuf des failles de juillet sont classées critiques, et 48 d'entre elles permettent l'exécution de code à distance. Le détail complet compte 254 failles d'élévation de privilèges, 145 d'exécution de code à distance, 102 de divulgation d'informations, 35 de déni de service, 17 contournements de fonctions de sécurité et 16 failles d'usurpation. Le total exclut les failles de Chromium dont Edge hérite.

Pourquoi c'est important. Une fenêtre mensuelle de correctifs représente un nombre fixe d'heures d'ingénierie. Le nombre d'éléments à y faire passer a presque triplé, et l'éditeur a écrit noir sur blanc qu'il ne s'agit pas d'un pic isolé. Tout processus qui suppose qu'un administrateur peut lire la liste, peser chaque entrée et trancher s'est brisé mardi.

Deux servent déjà contre ADFS et SharePoint

Trois des 570 sont des failles de type zero-day, et deux d'entre elles font l'objet d'attaques actives. CVE-2026-56155 est une faille d'élévation de privilèges dans Active Directory Federation Services, où un contrôle d'accès insuffisamment granulaire permet à un attaquant autorisé d'élever ses privilèges en local. CVE-2026-56164 est une faille d'élévation de privilèges dans SharePoint Server, où l'absence de vérification d'authentification sur une fonction critique permet à un attaquant non authentifié d'élever ses privilèges à travers le réseau. La troisième, CVE-2026-50661, est un contournement de la fonction de sécurité BitLocker déjà divulgué publiquement.

Aucune des deux failles exploitées n'est exotique, et c'est bien le problème. Active Directory Federation Services est la machine qui émet vos jetons de fédération. SharePoint abrite vos contrats, vos dossiers de conseil et vos listes de clients. Celui qui élève ses privilèges sur l'un des deux n'a pas besoin d'un second exploit pour atteindre le reste. Si vous exploitez l'un d'eux sur site, ce sont les deux seules entrées de la liste de juillet qui exigent une décision aujourd'hui. L'ANSSI publie généralement un avis dédié lorsqu'une faille de ce type est déjà exploitée.

Le contournement de BitLocker vise une défense juridique, pas un portable

CVE-2026-50661 permet à un attaquant disposant d'un accès physique d'atteindre les données d'un volume chiffré. Lu comme un problème technique, c'est un défaut matériel qui suppose d'avoir la machine en main. Lu comme un problème européen de conformité, c'est autre chose. L'article 34 du RGPD prévoit que le responsable de traitement n'a pas à informer les personnes concernées lorsque les données exposées ont été rendues incompréhensibles pour toute personne non autorisée, et le chiffrement intégral du disque est la raison pour laquelle la plupart des portables perdus ou volés ne deviennent jamais un incident à notifier.

La conséquence. Ce raisonnement tient tant que le chiffrement tient. Un contournement publié le rend discutable, et l'argument porte désormais un numéro de CVE que n'importe quelle autorité de contrôle peut consulter. Le délai de 72 heures de l'article 33 ne s'interrompt pas pendant que vous arrêtez votre position. Ceux qui présentent BitLocker comme leur réponse à un appareil perdu devraient déployer ce correctif sur le parc avant la disparition du prochain portable, et pouvoir en prouver la date.

Microsoft annonce que le flot devient la norme

Ce bond n'est pas un mauvais mois de code. Le 9 juillet, cinq jours avant la livraison, Microsoft a publié sur le Windows Experience Blog un billet expliquant qu'il a passé sur toute la base de code de Windows un système d'intelligence artificielle nommé MDASH, son dispositif de balayage agentique à plusieurs modèles. MDASH analyse les binaires critiques et valide ses trouvailles avec plusieurs modèles. Sa première récolte publique, en mai, comptait 16 CVE jusque-là inconnus, dont quatre failles critiques d'exécution de code à distance dans des composants centraux comme la pile TCP/IP du noyau, le service IKEv2, Netlogon et la bibliothèque de l'API DNS. Microsoft a dit clairement à ses clients de s'attendre à un volume plus élevé de mises à jour de sécurité à chaque livraison.

Le phénomène ne se limite pas à un éditeur. Chrome 150 est sorti avec 433 correctifs de sécurité. Adobe est passé à deux livraisons par mois et Mozilla à un rythme de deux semaines. Le secteur a mécanisé la découverte de ses propres défauts et il suit la cadence pour vous les livrer. Votre capacité à les absorber, elle, n'a pas bougé d'un pouce.

Changez la mesure avant de changer le calendrier

Le réflexe est de réclamer plus d'heures de correctifs. C'est le mauvais levier, car l'entrée n'a plus de plafond. La réponse praticable consiste à cesser de traiter la liste des CVE comme une file d'attente à vider et à la traiter comme un signal à filtrer. Deux filtres font presque tout le travail : la faille est-elle exploitée, et le système touché est-il joignable depuis l'extérieur. Trois des 570 failles ont passé le premier filtre ce mois-ci. Voilà une liste qu'un humain peut vraiment lire.

En résumé. La mesure présentée au conseil doit suivre. Un pourcentage de couverture des correctifs mesure aujourd'hui le scanner de Microsoft et non vos défenses, et il paraîtra plus mauvais chaque mois tout en signifiant moins. Rapportez plutôt le temps qu'il vous a fallu pour corriger les failles exploitées et exposées sur internet. Ce chiffre est le vôtre, il est assez petit pour être défendu, et c'est le seul qui intéresse un attaquant.