📆 Édition du Lundi 15 Juin 2026
198 CVE corrigées en une seule journée. Le Patch Tuesday du 9 juin est le plus gros que Microsoft ait jamais publié. Voilà ce qu'il faut lire entre les lignes :
Trois RCE pré-auth dans le cœur de ton infra : Active Directory Domain Services, le KDC Kerberos et HTTP.sys noté 9.8. Le volume record n'est pas l'histoire, ces trois-là le sont.
Le correctif permanent Exchange est enfin tombé : après des semaines de mitigation seule, CVE-2026-42897 (OWA, exploité) a son patch. Si tu tiens Exchange SE, 2016 ou 2019, c'est l'urgence n°1.
Nightmare-Eclipse se solde en silence : tous les Zero-Days du chercheur sont patchés. Sauf que la prochaine salve est déjà datée au 14 juillet, et le canal de divulgation, lui, ne s'est pas réparé.
Et l'horloge Secure Boot tourne : J-10 avant l'expiration des certificats 2011.
Le reste, c'est du tri. On y va.
🔴 À traiter maintenant
Trois urgences cette semaine. Si tu fais une seule chose après cette édition, fais celle-ci :
Patch Tuesday du 9 juin : déploie les RCE pré-auth en priorité. Le volume est record, mais l'urgence tient en quatre CVE : trois RCE pré-auth sur le cœur de ton infra (AD DS CVE-2026-45648, KDC Kerberos CVE-2026-47288, HTTP.sys CVE-2026-47291 en CVSS 9.8) et le correctif permanent Exchange OWA (CVE-2026-42897, exploité, CVSS 8.1). Patche-les avant le reste, surtout si tu tiens Exchange SE, 2016 ou 2019. → Lire la suite
Secure Boot : les certificats 2011 expirent le 24 juin. On est à J-10. Confirme le déploiement des certificats 2023 via Windows Update et inventorie tes VM en Trusted Launch et confidentielles, qui suivent un chemin spécifique. Sans ça, tu perds les protections de boot et à terme les révocations. → Lire la suite
Nouveau durcissement Entra ID au 6 juillet. Microsoft retire les Custom Controls au profit d'External MFA, impose le Conditional Access pendant l'enregistrement des credentials et exige des méthodes d'auth enregistrées pour le SSPR. Si tes Policies couvrent la connexion mais pas l'enrôlement, comble le trou maintenant. → Lire la suite
⚡ Ce qui brûle — 3 sujets cette semaine
Nightmare-Eclipse : la saga se solde, le problème de fond reste entier
Ce qu'on suit depuis l'édition #73 trouve enfin son épilogue technique. Au Patch Tuesday du 9 juin, les trois derniers Zero-Days du chercheur sont patchés : YellowKey sur BitLocker, GreenPlasma sur CTFMON, et Mini-Plasma, un CVE de 2020 ressorti des cartons parce qu'il était toujours exploitable. Sur le papier, le risque immédiat retombe. Sauf que le chercheur a déjà redaté sa prochaine salve au 14 juillet, et que le canal de divulgation coordonnée, lui, ne s'est pas réparé en deux semaines. Si la prochaine faille arrive sans préavis, qui te prévient en premier, et as-tu encore une fenêtre de détection ?
DoH passe en GA sur Windows DNS Server : ta dernière zone aveugle On-Prem se ferme
Pendant que tout le monde regarde le Cloud, Microsoft vient de généraliser une brique qui change la couche la plus basse de ton infra. Le DNS en clair, du client vers le résolveur, était l'un des derniers angles morts d'un réseau On-Prem, exploitable en spoofing comme en exfiltration. DoH natif sur le rôle DNS Server le chiffre et l'authentifie, sans remplacer tes résolveurs ni casser ton architecture existante. Mais chiffrer ce trafic, c'est aussi rendre aveugle une partie de ton inspection réseau interne. Tu arbitres comment, entre confidentialité du résolveur et supervision de ce qui sort de ton parc ? → Lire la suite
Le 6 juillet, Microsoft ferme la fenêtre où un attaquant s'enregistre sa propre MFA
Derrière trois changements Entra ID d'apparence administrative se cache une seule idée. Le retrait des Custom Controls, le Conditional Access imposé à l'enregistrement des credentials et le SSPR limité aux méthodes déjà enregistrées verrouillent tous le même instant : le moment précis où une identité se dote de ses facteurs d'authentification. C'est exactement là que se jouent les prises de contrôle de compte modernes, quand un attaquant enrôle sa propre MFA sur un compte qu'il vient de compromettre. La vraie question pour un RSSI : tes policies de Conditional Access protègent-elles déjà l'enrôlement, ou seulement la connexion ?
📖 Sur le blog cette semaine
🔬 Du nouveau : Doctor Deep Dive
À partir de ce mois-ci, je t'offre un deuxième rendez-vous : le Doctor Deep Dive. Une fois par mois, je prends une décision qui compte sur l'écosystème Microsoft Cloud, et je la creuse à fond. Contexte, chiffres, schémas, et surtout un verdict tranché avec plan d'action. Le genre de dossier qu'on ne trouve nulle part ailleurs en français.
Le 1er Deep Dive : Jeudi 25 juin, 7h00
Au menu d'ouverture : la certif AZ-500 disparaît le 31 août. Faut-il encore le passer, ou basculer dès maintenant sur SC-500 ? Si tu détiens cette certif ou si tu la vises, ce dossier peut t'éviter une erreur coûteuse.
Comment le recevoir ? Rien à faire de ton côté, tu le recevras automatiquement, comme la newsletter. Rendez-vous chaque 3ᵉ jeudi du mois, 7h00.
👀 Un collègue concerné par la sécurité Azure ? Forwarde-lui la newsletter, il te remerciera avant le 31 août.
🔍 Actualités “On-Prem & Hybride”
⭐ Windows Server
Windows Server 2025 acte la fin de DirectAccess
La fonctionnalité d'accès distant historique est retirée au profit des alternatives VPN : si tu la tiens encore, planifie la bascule. → En savoir plus
LAPS arrive pour Azure Arc
La gestion des mots de passe admin local, uniques et rotés, s'étend à tes machines Windows On-Prem via Arc, pour limiter le mouvement latéral à l'échelle. → En savoir plus
Virtual App & Desktop
Nouveau client Remote Desktop et gros bloc RDS/Hyper-V au Patch Tuesday
La version du 10 juin améliore le logging et le diagnostic des connexions. À patcher en parallèle : un bloc de 11 RCE Remote Desktop Client et 3 RCE Hyper-V (évasion VM vers l'hôte) corrigés le 9 juin. → En savoir plus
SQL Server
SSMS 22.7 et Vector Search en GA sur SQL Server 2025
SSMS 22.7.0 ajoute un Agent mode GitHub Copilot et le formatage T-SQL en preview. Côté moteur, Vector Search passe en GA dans SQL Server 2025 pour la recherche sémantique sur tes données relationnelles. → En savoir plus
M365 Apps
Bloc de RCE Office/Outlook/Word au Patch Tuesday
Plusieurs RCE critiques Office, Outlook et Word sont corrigées le 9 juin. À déployer avec le reste du Patch Tuesday, sans traitement séparé. → En savoir plus
🔍 Actualités “Azure”
⭐ Identité
Azure Managed Redis passe à l'authentification Entra ID
Azure Managed Redis accepte désormais l'authentification Entra ID avec RBAC fin-grain pour le data plane (lecture, écriture, administration). Fin des shared keys partagées entre apps : chaque identité a son rôle, chaque accès est auditable. En public preview. → En savoir plus
Entra server principals sur Azure SQL Database en GA, et outils de migration B2C
Tu peux désormais mapper des identités Entra ID à des logins SQL via CREATE LOGIN ... FROM EXTERNAL PROVIDER, à parité avec SQL Server On-Prem. En parallèle, les outils de migration Azure AD B2C vers Entra External ID (JIT et High-Scale Compatibility) sont disponibles. → En savoir plus
⭐ Sécurité
Azure Bastion : session recording avec Managed Identity en preview
Bastion enregistre désormais les sessions RDP/SSH directement vers un storage account, avec authentification par Managed Identity. Audit trail, forensics, traçabilité des accès privilégiés, sans plus aucun credential à gérer manuellement. En public preview. → En savoir plus
Defender muscle sa télémétrie : RPC, scans Linux, exposition internet
Defender surveille maintenant l'activité RPC (mouvement latéral, vol d'identifiants, élévation), ajoute des scans antivirus planifiés sur Linux et une recommandation pour réduire l'exposition internet inutile de tes devices. → En savoir plus
DLP pour les Prompts Copilot
Purview permet désormais de bloquer ou restreindre le Web grounding de Copilot selon les types d'information sensible, avec un mode simulation avant application. → En savoir plus
Networking
NSP pour Azure Service Bus en GA, et deux retraits datés
Le Network Security Perimeter pour Azure Service Bus passe en GA, y compris en régions Gov. À noter au calendrier : le VPN Client for Linux (preview) est retiré le 31 août 2026, et les Inbound NAT rule v1 / NAT Pools pour VMSS sont en fin de vie. → En savoir plus
Compute
VM GPU NC RTX PRO 6000 v6 en GA, et retraits Batch à anticiper
Les VM NC RTX PRO 6000 Blackwell v6 (jusqu'à 384 Go de mémoire GPU) sont disponibles. À planifier de loin : les séries Batch D/Ds/Dv2/Dsv2/Ls partent le 1ᵉʳ mai 2028, et Av2/F/G/Lsv2 le 15 novembre 2028. → En savoir plus
Databases
SQL MCP Server en GA, PostgreSQL Hub et Maintenance control aussi
Le SQL MCP Server passe en GA pour un accès gouverné aux bases (PostgreSQL et Cosmos DB). Côté PostgreSQL Flexible Server, le Hub développeurs et le Maintenance control (reprogrammer, appliquer à la demande) deviennent généraux. → En savoir plus
⭐ Migration
Azure Site Recovery pour VM Linux à contrôleurs NVMe en preview
La DR arrive enfin pour les VM Gen 2 modernes (séries Da/Ea/Fa v6, Ebsv5/Ebdsv5) qui tournent en NVMe. Si tu as migré tes workloads Linux vers les nouvelles familles de calcul, tu peux maintenant les couvrir en réplication cross-region. En public preview. → En savoir plus
⭐ Monitoring
Azure Monitor : Metrics Export en GA et métriques OpenTelemetry pour les VM
L'export des métriques multidimensionnelles passe en GA sur 44 régions, et les métriques OpenTelemetry Guest OS pour les VM deviennent générales pour une supervision homogène cross-OS. → En savoir plus
Containers
ACI Sandboxes : isolation type Hyper-V pour le compute agentique
Azure Container Instances introduit la Direct Virtualization (L1VH), qui combine la sécurité Hyper-V et l'agilité conteneur pour exécuter du code non fiable de façon isolée. → En savoir plus
Management & Gouvernance
Azure Update Manager passe le reporting d'échecs à l'échelle, et les Savings Plans s'affinent à l'heure
Update Manager agrège désormais les échecs de patch sur des milliers de machines via Resource Graph, utile pile cette semaine. Et le right-sizing horaire des Savings Plans arrive via la Benefit Recommendations API. → En savoir plus
🤔 Ce qu'on ignore cette semaine
Cette semaine, on a écarté le feuilleton Fable 5 (sortie chez Anthropic puis suspension côté gouvernement US) : c'est de la méta-actu IA, pas ton infra. On laisse aussi de côté le ver supply-chain "Mini Shai-Hulud" sur des packages npm SAP et l'attaque sur des repos GitHub, du Dev tooling déjà hors périmètre la semaine dernière, ainsi que le déluge post-Build Foundry et Fabric.
On a aussi mis de côté Azure HorizonDB, annoncé à Build et relayé cette semaine : un PostgreSQL natif avec AI intégré, vector search DiskANN, AI re-ranking. C'est une annonce stratégique majeure, pas un patch, et elle mérite mieux qu'une ligne de scan. Tu la retrouveras analysée à fond dans un prochain Doctor Deep Dive.
Pas par paresse, par tri.
La commande “Az CLI” de la semaine !
Évaluer les patchs manquants sur une VM après le Patch Tuesday record
Le plus gros Patch Tuesday de l'histoire vient de tomber. Avant de remédier, il faut savoir où tu en es. Cette commande lance une évaluation des correctifs disponibles sur une VM Azure, classés par criticité.
az vm assess-patches --resource-group <rg> --name <vm>Ce que la commande retourne :
La liste des patchs disponibles pour la VM
Le classement par catégorie (Critical, Security, Other)
Le statut global de l'évaluation (Succeeded / Failed)
L'horodatage de la dernière évaluation
Mème de la semaine !
Tu es arrivé au bout de ta prescription, sans effets secondaires 😄
Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙
À lundi prochain.
—Hicham
1
