Patch Tuesday Juin 2026 : un record historique de 200+ failles et 3 RCE critiques (9.8) — alerte PME

Patch Tuesday juin 2026 : l'essentiel en 30 secondes

Microsoft a publié son Patch Tuesday de juin 2026 — le plus important de son histoire avec plus de 200 vulnérabilités corrigées (198 à 208 selon le mode de comptage), dont :

• 3 RCE critiques notées CVSS 9.8, dont une faille noyau « wormable » (CVE-2026-45657) exploitable sans authentification ni interaction
• 3 failles divulguées publiquement avant le correctif (HTTP.sys, CTFMON, BitLocker)
• ~32 failles critiques au total
• Rappel : une faille Microsoft Defender activement exploitée (CVE-2026-41091) avait été corrigée en urgence dès mai
• Correctifs pour Windows 10/11, Windows Server, Office, SharePoint, Exchange, Hyper-V, Active Directory, IIS/HTTP.sys, DHCP et TCP/IP

Pour les PME : le volume est inédit, mais l'urgence se concentre sur 3 RCE 9.8 exploitables à distance. La priorité absolue est la faille noyau wormable, capable de se propager seule sur tout le réseau. Patchez les systèmes exposés sous 48h.

Le contexte : le plus gros Patch Tuesday jamais publié

Après un mois de mai exceptionnellement calme (aucune zero-day), juin 2026 fait l'inverse : plus de 200 CVE en une seule fournée, un record absolu pour Microsoft. Les sources spécialisées divergent légèrement sur le total exact (198 pour Tenable et le SANS, jusqu'à 208 pour la Zero Day Initiative) selon leur méthode de comptage — mais toutes confirment le record.

Ce volume illustre une réalité que vivent les PME : il est devenu impossible de tout corriger manuellement. La seule approche viable est de prioriser (les failles exploitables à distance d'abord) et d'automatiser le déploiement du reste.

Les 3 failles critiques à corriger en priorité absolue

CVE-2026-45657 — RCE « wormable » dans le noyau Windows / TCP-IP (CVSS 9.8)

C'est la faille la plus dangereuse du mois. Une vulnérabilité de type use-after-free dans le noyau Windows / pile TCP-IP permet l'exécution de code en niveau SYSTEM, à distance, sans authentification ni interaction de l'utilisateur.

Surtout, elle est qualifiée de « wormable » : un code malveillant peut s'en servir pour se propager seul de machine en machine sur le réseau, comme l'avaient fait WannaCry ou NotPetya.

Impact PME : c'est le scénario cauchemar. Une seule machine non patchée exposée peut suffire à contaminer toute la flotte. À corriger en priorité absolue, sur l'ensemble du parc Windows.

CVE-2026-47291 — RCE non authentifiée dans HTTP.sys / IIS (CVSS 9.8)

Vulnérabilité d'exécution de code à distance dans HTTP.sys, le composant noyau qui gère le trafic web sous Windows (et donc IIS). Un attaquant non authentifié peut exécuter du code sur tout serveur exposant un service web Windows.

Impact PME : critique pour toute PME hébergeant un site, une application métier ou un service web sur un serveur Windows/IIS exposé sur Internet.

CVE-2026-44815 — RCE dans le client DHCP de Windows (CVSS 9.8)

Débordement de pile dans le client DHCP de Windows, exploitable par un serveur DHCP malveillant répondant aux postes vulnérables. Tout appareil qui obtient une adresse IP automatiquement (c'est-à-dire la quasi-totalité d'un parc) est concerné.

Impact PME : un attaquant connecté au réseau (Wi-Fi invité mal isolé, point d'accès pirate) peut viser n'importe quelle machine qui demande une adresse IP. Particulièrement dangereux sur les réseaux peu segmentés.

Les 3 failles divulguées publiquement

Ces failles n'étaient pas exploitées au moment du correctif, mais leur détail technique était déjà public — ce qui accélère l'apparition d'exploits.

• CVE-2026-49160 (CVSS 7.5) — Déni de service HTTP.sys / HTTP/2 : surnommée « HTTP/2 Bomb », elle permet de saturer la mémoire d'un serveur web à distance, sans authentification. Impact pour les PME hébergeant des services web sous Windows/IIS.
• CVE-2026-45586 (CVSS 7.8) — Élévation de privilèges (CTFMON) : exploit public « GreenPlasma » permettant à un attaquant local de passer en SYSTEM. Typiquement la 2ᵉ étape d'une attaque après un phishing réussi.
• CVE-2026-50507 (CVSS 6.8) — Contournement de BitLocker : « YellowKey » permet de contourner le chiffrement BitLocker via un accès physique à l'appareil. À prioriser sur les PC portables susceptibles d'être perdus ou volés.

À ne pas oublier — CVE-2026-41091 (Microsoft Defender) : cette élévation de privilèges était activement exploitée (inscrite au catalogue CISA des failles exploitées connues) et avait été corrigée en urgence, hors cycle, dès mai 2026. Vérifiez que le moteur de protection Defender de vos postes est bien à jour (version ≥ 1.1.26040.8) — la mise à jour est normalement automatique, mais les postes éteints ou hors-ligne peuvent l'avoir manquée.

Répartition des 200+ vulnérabilités

Le volume de spoofing est inhabituellement élevé ce mois-ci, concentré pour l'essentiel sur SharePoint. Côté RCE, près de la moitié sont classées critiques.

Systèmes impactés : Windows 10 et 11, Windows Server (2016 à 2025), Microsoft Office / Word / Excel / SharePoint, Exchange Server on-premise, Hyper-V, Active Directory, IIS / HTTP.sys, client et serveur DHCP, pile TCP/IP, BitLocker, Microsoft Defender, .NET.

Ce que votre PME doit faire dans les 7 prochains jours

Si vous gérez votre IT en interne

Sous 48h (urgence absolue) :

1. Patchez tous les postes et serveurs Windows contre la RCE noyau wormable CVE-2026-45657 — c'est la priorité n°1
2. Mettez à jour les serveurs web Windows / IIS exposés (CVE-2026-47291)
3. Vérifiez le moteur Microsoft Defender (faille exploitée CVE-2026-41091 — moteur ≥ 1.1.26040.8)

Sous 7 jours :

4. Déployez l'ensemble des mises à jour Windows via WSUS ou Intune
5. Segmentez et surveillez le réseau pour limiter l'exposition à la RCE DHCP (CVE-2026-44815)
6. Mettez à jour Office, SharePoint et Exchange (volume important de correctifs ce mois-ci)
7. Vérifiez le chiffrement BitLocker des PC portables (CVE-2026-50507)
8. Testez les applications métier après déploiement

À surveiller :

• Propagation latérale anormale sur le réseau (signature d'un ver exploitant CVE-2026-45657)
• Trafic DHCP et HTTP/2 suspect
• Tentatives d'élévation de privilèges sur les postes

Si vous êtes client Dhala

Aucune action requise. Notre équipe a déjà :

• Validé les correctifs sur notre environnement de pré-production
• Déployé en urgence les 3 RCE critiques 9.8 (noyau, HTTP.sys, DHCP) sur les systèmes exposés
• Confirmé que le moteur Defender était à jour sur les parcs supervisés (faille exploitée CVE-2026-41091)
• Planifié le déploiement des 200+ correctifs sur les fenêtres de maintenance, par vagues priorisées
• Renforcé la supervision SOC sur les indicateurs de propagation latérale (risque wormable)

Pourquoi le patching automatisé n'est plus une option

Avec plus de 200 correctifs en un seul mois, juin 2026 prouve que le patching manuel est définitivement hors de portée d'une PME sans équipe IT dédiée. L'enjeu n'est pas seulement de patcher : il faut prioriser les bonnes failles (3 RCE 9.8 noyées dans 200 CVE), déployer vite sur tout le parc, et sans casser les applications métier.

Chez Dhala, notre service d'infogérance inclut :

• Déploiement automatisé des patchs critiques sous 48h
• Priorisation des failles selon leur exploitabilité réelle (pas seulement le score CVSS)
• Tests de compatibilité sur environnement de pré-production
• Supervision 24/7 pour détecter les postes non patchés et la propagation latérale
• Rapports mensuels de conformité pour votre direction et vos clients (audit, ISO 27001, NIS 2)

Le patching managé est inclus dans notre offre à partir de 44€/poste/mois avec le SOC managé et la protection EDR/MDR.

Récapitulatif Patch Tuesday juin 2026

Cet article est mis à jour chaque mois à l'occasion du Patch Tuesday. Pour une protection continue de votre parc et un patching managé inclus, découvrez notre offre d'infogérance et cybersécurité ou demandez votre audit gratuit.