198 CVE corrigées en un mois, trois zero-days divulguées publiquement, et des modèles d’IA capables de générer des preuves de concept sur des failles classées peu probables à exploiter. Le Patch Tuesday de juin 2026 de Microsoft marque un tournant dont Satnam Narang, Senior Staff Research Engineer chez Tenable, propose une analyse.
Un record qui ne doit rien au hasard
Le chiffre est sans appel. Microsoft a corrigé 198 vulnérabilités ce mois-ci, pulvérisant le précédent record établi en octobre 2025 avec 167 CVE. Pour Satnam Narang, ce volume n’a pourtant rien d’accidentel : « Microsoft a publié un billet de blog soulignant que ses ingénieurs comme la communauté de la cybersécurité utilisent de plus en plus l’IA pour identifier des failles. Certaines études estiment que 90 % des professionnels de la cybersécurité ont recours à l’IA, ce qui rend peu surprenant que ce volume de correctifs devienne la norme. » Une normalisation qui dépasse largement le seul périmètre de l’éditeur de Redmond : « La boîte de Pandore est désormais ouverte et, à mesure que des modèles d’IA plus avancés seront disponibles, nous nous attendons à ce que cette tendance se poursuive dans l’ensemble du secteur, et pas uniquement lors des Patch Tuesday. »
Parmi les correctifs de ce mois figure CVE-2026-45586, une élévation de privilèges dans le service CTFMON, gestionnaire des méthodes de saisie alternatives sous Windows, ainsi que CVE-2026-50507, un contournement de BitLocker baptisé Bitskrieg. La troisième zero-day divulguée publiquement, CVE-2026-49160, surnommée HTTP2/Bomb, est une vulnérabilité de déni de service touchant les principaux serveurs web dont Microsoft IIS via HTTP.sys. Son origine est notable : elle a été attribuée à une découverte réalisée avec Codex, le modèle d’OpenAI. Narang signale par ailleurs que des vulnérabilités divulguées par le chercheur Nightmare Eclipse, également connu sous le nom de Chaotic Eclipse, n’ont pas encore obtenu de correctif.
Les N-days, angle mort d’un secteur sous pression
C’est sur le terrain des N-days que l’analyse de Tenable prend toute sa portée. Ces vulnérabilités connues mais non encore corrigées dans les environnements réels constituent, selon Narang, un risque désormais démultiplié par les capacités des grands modèles de langage. Il s’appuie sur les travaux récents de l’Anthropic Frontier Red Team, qui a étudié 21 vulnérabilités d’élévation de privilèges dans le noyau Windows, issues des Patch Tuesday de janvier et février 2026 : « Des modèles tels que Sonnet, Opus et Mythos Preview ont été capables de produire des preuves de concept d’exploitation en comparant les correctifs afin d’identifier les modifications apportées entre les versions précédentes et les versions corrigées. »
Le constat le plus dérangeant concerne Mythos Preview, qui est parvenu à générer des PoC pour 13 des 14 vulnérabilités que Microsoft classait comme présentant une probabilité faible ou très faible d’exploitation selon son Exploitability Index. Un système d’évaluation, rappelle Narang, « conçu pour les analystes humains et non pour des modèles d’IA avancés ». L’écart entre ce que ces modèles peuvent faire et ce que les grilles d’analyse traditionnelles anticipent crée une zone d’exposition inédite. La conclusion s’impose d’elle-même : « Alors qu’Anthropic se prépare à lancer Mythos et que d’autres acteurs de l’IA développent des modèles comparables, réduire au plus vite le délai entre la publication d’un correctif et son déploiement effectif devient un enjeu critique pour les organisations. » Une urgence que les 198 CVE de ce mois rappellent avec une clarté particulière.
