Le Patch Tuesday de juin 2026 établit un nouveau record : jamais Microsoft n’avait corrigé autant de vulnérabilités en un seul mois. Et derrière les chiffres, c’est une tendance de fond qui s’impose.
Microsoft a publié ce mardi 9 juin 2026 ses correctifs mensuels pour un nombre inédit de 206 vulnérabilités. Ce Patch Tuesday, rendez-vous mensuel par lequel l’entreprise déploie l’ensemble de ses correctifs de sécurité pour Windows et ses logiciels associés, marque un tournant : le précédent record datait d’octobre 2025, avec 167 CVE.
Parmi les 39 vulnérabilités jugées critiques figure CVE-2026-45657, une faille dans le noyau Windows permettant une exécution de code à distance sans authentification ni interaction utilisateur, avec un score de gravité de 9,8 sur 10. Deux autres atteignent le même seuil : CVE-2026-47291 et CVE-2026-44815, pouvant toutes deux conduire à une exécution de code arbitraire sur le réseau.
À cela s’ajoutent trois zero-days divulguées publiquement. Mais c’est le volume global qui a surtout retenu l’attention des experts : 56 exécutions de code à distance, 63 élévations de privilèges, 30 divulgations d’informations.
L’IA au cœur de ce boom ?
Pour bon nombre d’observateurs, le rôle de l’IA s’impose comme explication dominante à cette augmentation.
Selon The Hacker News, Microsoft reconnaît que cette inflation est directement liée à l’essor des approches de découverte assistées par l’IA, une tendance que l’entreprise juge appelée à durer.
Une lecture partagée par Satnam Narang, ingénieur de recherche principal chez Tenable, cité par nos confrères : « La boîte de Pandore a été ouverte, et à me que des modèles d’IA plus avancés deviennent disponibles, nous nous attendons à ce que la norme continue d’augmenter dans tous les domaines, et pas seulement pour le Patch Tuesday. »
Ce record pourrait être le fruit du rapprochement technique entre Microsoft et les équipes d’Anthropic.
Le 7 avril 2026, Microsoft annonçait rejoindre le Project Glasswing, un programme restreint qui permet à un certain nombre d’organisations d’évaluer les capacités de cyberdéfense de Mythos Preview, le modèle le plus avancé de la société mère de Claude.
Dans ce cadre, Microsoft indiquait avoir observé « des améliorations substantielles par rapport aux modèles précédents » qui pourraient, de par la capacité de ces systèmes à fonctionner en continu, permettre de découvrir « un volume et une diversité plus importants de vulnérabilités » et de les traiter « plus tôt dans le cycle de vie, avant qu’elles ne créent un risque pour les clients ».
Un volume de qualité ?
Dustin Childs, responsable de la sensibilisation aux menaces chez TrendAI’s Zero Day Initiative, partage ce diagnostic tout en soulevant une interrogation auprès de The Hacker News : « Le nombre de CVE publiées par Microsoft cette année dépasse déjà le nombre total de CVE publiées pour toute l’année 2018. Il est extraordinaire que Microsoft puisse publier autant de correctifs en un seul mois, et je suppose que de nombreux testeurs s’interrogent sur les éventuels problèmes de qualité. »
La question de la qualité des correctifs générés par l’IA n’est pas nouvelle. En mai dernier, Linus Torvalds avait notamment dû recadrer publiquement les contributeurs du noyau Linux, dénonçant le flot de doublons générés par des outils d’IA au point de rendre la mailing list de développement « presque ingérable ».
Reste que dans le cas de Microsoft, le volume semble s’accompagner de substance : sur les 206 failles corrigées ce mois-ci, 39 sont jugées critiques et 167 importantes.
Source : Numerama
