Le Patch Tuesday de juin 2026 marque un tournant dans l’histoire des correctifs de sécurité de Microsoft. Comme le rapporte Numerama, l’éditeur a publié ce mardi 9 juin pas moins de 206 correctifs pour combler des vulnérabilités affectant Windows et ses logiciels associés. Un chiffre inédit, qui pulvérise le précédent record établi en octobre 2025 avec 167 failles corrigées. Cette hausse spectaculaire, observée par les spécialistes depuis plusieurs mois, pourrait s’expliquer en grande partie par l’utilisation croissante de l’intelligence artificielle dans la détection des vulnérabilités.
Ce qu'il faut retenir
- 206 vulnérabilités corrigées en un seul mois, un record absolu pour Microsoft.
- Parmi elles, 39 failles critiques, dont trois zero-days déjà exploitées publiquement.
- Les outils d’IA, comme ceux développés par Anthropic dans le cadre du Project Glasswing, jouent un rôle clé dans cette accélération.
- 56 exécutions de code à distance, 63 élévations de privilèges et 30 divulgations d’informations parmi les failles corrigées.
- Des experts s’interrogent sur la qualité des correctifs, après des cas similaires ayant généré des doublons dans d’autres projets open source.
Un record historique qui dépasse toutes les attentes
Avec 206 correctifs publiés, Microsoft pulvérise son propre record mensuel, établi à 167 vulnérabilités en octobre 2025. Selon Numerama, cette performance reflète une tendance de fond : l’augmentation constante du nombre de failles détectées chaque mois. Pour mieux comprendre l’ampleur de ce phénomène, il suffit de comparer ce chiffre à celui de l’année 2018, où le nombre total de vulnérabilités publiées par Microsoft sur l’ensemble de l’année n’avait pas dépassé ce seuil.
Parmi les 39 failles jugées critiques, trois se distinguent particulièrement. La CVE-2026-45657, par exemple, permet une exécution de code à distance sans authentification ni interaction utilisateur, avec un score de gravité de 9,8/10. Deux autres failles, les CVE-2026-47291 et CVE-2026-44815, offrent des possibilités similaires d’exécution de code arbitraire sur le réseau. Autant dire que ces vulnérabilités représentent une menace majeure pour les utilisateurs et les entreprises.
L’IA, un accélérateur de détection… et de débats
Pour de nombreux observateurs, l’explosion du nombre de failles corrigées ne doit rien au hasard. Comme l’indique The Hacker News, cité par Numerama, Microsoft lui-même reconnaît que cette inflation est directement liée à l’adoption massive d’outils de détection assistés par l’IA. « La boîte de Pandore a été ouverte, et à mesure que des modèles d’IA plus avancés deviennent disponibles, nous nous attendons à ce que la norme continue d’augmenter dans tous les domaines, et pas seulement pour le Patch Tuesday », a déclaré Satnam Narang, ingénieur de recherche principal chez Tenable.
Cette hypothèse prend tout son sens à la lumière du rapprochement récent entre Microsoft et Anthropic. Le 7 avril 2026, l’éditeur a annoncé rejoindre le Project Glasswing, un programme restreint permettant d’évaluer les capacités de cyberdéfense de Mythos Preview, le modèle le plus avancé d’Anthropic. Microsoft a alors souligné avoir observé « des améliorations substantielles » par rapport aux modèles précédents, capables de fonctionner en continu et de découvrir un volume et une diversité plus importants de vulnérabilités, tout en les traitant plus tôt dans leur cycle de vie.
Des correctifs en masse : et la qualité dans tout ça ?
Si le volume impressionne, certains experts s’interrogent sur la qualité des correctifs générés à un tel rythme. Dustin Childs, responsable de la sensibilisation aux menaces chez TrendAI’s Zero Day Initiative, a confié à The Hacker News : « Le nombre de CVE publiées par Microsoft cette année dépasse déjà le nombre total de CVE publiées pour toute l’année 2018. Il est extraordinaire que Microsoft puisse publier autant de correctifs en un seul mois, et je suppose que de nombreux testeurs s’interrogent sur les éventuels problèmes de qualité. »
Cette préoccupation n’est pas nouvelle. En mai 2026, Linus Torvalds, créateur du noyau Linux, avait dû recadrer publiquement les contributeurs du projet, dénonçant le flot de doublons générés par des outils d’IA. Ces derniers rendaient la mailing list de développement « presque ingérable ». Reste que, dans le cas de Microsoft, le volume semble s’accompagner d’une réelle pertinence : sur les 206 failles corrigées, 167 sont jugées importantes, et 39 critiques, ce qui laisse penser que les correctifs ciblent des menaces bien réelles.
En attendant, la question de l’équilibre entre quantité et qualité des correctifs reste entière. Les éditeurs de logiciels devront-ils adapter leurs processus de test pour garantir la fiabilité des mises à jour ? Les utilisateurs, eux, devront-ils s’attendre à une multiplication des correctifs, sans pour autant être assurés de leur parfaite stabilité ? Autant de défis que l’industrie devra relever dans les mois à venir.
Selon les experts, cette hausse s’explique principalement par l’utilisation croissante de l’intelligence artificielle dans la détection des vulnérabilités. Les outils d’IA, comme ceux développés par Anthropic dans le cadre du Project Glasswing, permettent de découvrir un volume et une diversité plus importants de failles, tout en les traitant plus tôt dans leur cycle de vie.
Parmi les 39 failles jugées critiques, trois se distinguent particulièrement : la CVE-2026-45657, qui permet une exécution de code à distance sans authentification, ainsi que les CVE-2026-47291 et CVE-2026-44815, qui offrent des possibilités similaires d’exécution de code arbitraire sur le réseau. Ces vulnérabilités représentent une menace majeure pour les utilisateurs et les entreprises.
