CVE-2026-45657 : faille noyau Windows CVSS 9.8 wormable

Les faits

Le 9 juin 2026, dans le cadre de son Patch Tuesday mensuel, Microsoft a corrigé CVE-2026-45657, une vulnérabilité de type use-after-free dans le noyau Windows affectant le traitement de la pile TCP/IP. Avec un score CVSS de 9,8 et un profil wormable confirmé par le Zero Day Initiative (ZDI) de Trend Micro, elle constitue la vulnérabilité la plus critique de ce Patch Tuesday et l'une des plus préoccupantes divulguées par Microsoft en 2026.

La faille réside dans la manière dont le noyau Windows gère les paquets TCP/IP entrants. Un attaquant distant peut exploiter CVE-2026-45657 en envoyant des paquets TCP/IP spécialement forgés — sans authentification préalable, sans interaction utilisateur, depuis n'importe quel réseau accessible. En cas d'exploitation réussie, l'attaquant obtient une exécution de code arbitraire au niveau SYSTEM, le niveau de privilège le plus élevé sur Windows. Aucune condition préalable particulière n'est requise.

La nature wormable de CVE-2026-45657, formellement confirmée par le ZDI, est ce qui la distingue de la majorité des vulnérabilités critiques. Ses caractéristiques techniques permettent une propagation de machine en machine de façon autonome, sans intervention humaine, en exploitant tout système vulnérable accessible sur le réseau — exactement comme EternalBlue (MS17-010), la faille qui a alimenté WannaCry en mai 2017 (150 000 systèmes en 48 heures, 150 pays) et NotPetya en juin 2017 (dommages estimés à plus de 10 milliards de dollars selon la Maison-Blanche).

Microsoft a classifié l'exploitation comme "Exploitation Less Likely" au moment de la divulgation — signifiant qu'aucun exploit public confirmé n'était connu au 9 juin 2026. Cette classification ne doit pas induire de fausse sécurité. Le délai entre la publication d'un patch et la disponibilité d'un exploit fonctionnel se réduit d'année en année : des équipes spécialisées dans le patch diffing travaillent en permanence sur les nouvelles divulgations de ce profil CVSS critique.

Les systèmes affectés couvrent l'ensemble des versions Windows en support : Windows 11 versions 23H2, 24H2, 25H2 et 26H1, sur architectures x64 et ARM64. Les versions correspondantes de Windows Server sont également concernées. Microsoft a rendu le patch disponible via Windows Update et WSUS dès le 9 juin 2026, mais les environnements avec des cycles de patch mensuels ou bimestriels restent exposés pendant plusieurs semaines après la divulgation.

Le Patch Tuesday de juin 2026 comprenait au total plus de 200 CVEs corrigées, dont trois zero-days activement exploités. CVE-2026-45657 n'était pas parmi les zero-days exploités, mais son score CVSS 9,8 et son profil wormable en font la priorité de patching la plus urgente du cycle pour les équipes infrastructure, devant les zero-days qui nécessitaient une interaction utilisateur.

La comparaison avec EternalBlue n'est pas rhétorique. La différence structurelle entre 2017 et 2026 : le cycle de développement d'exploit est aujourd'hui beaucoup plus rapide — les outils d'aide à l'exploitation, dont des assistants IA de génération de code, sont plus accessibles que jamais — et le parc Windows mondial est numériquement supérieur. Le risque systémique potentiel est donc au moins équivalent à WannaCry, voire supérieur.

Au 20 juin 2026, aucun exploit public fonctionnel n'a été confirmé pour CVE-2026-45657. La communauté de recherche offensive surveille activement le delta des composants noyau Windows entre les patches de mai et juin 2026. Le ZDI estimait lors de son analyse du 9 juin que la fenêtre avant disponibilité d'un exploit de qualité était "de quelques semaines à moins d'un mois" — plaçant le moment de risque maximal aux alentours de la mi-juillet 2026.

Impact et exposition

Tous les systèmes Windows 11 et Windows Server non-patchés depuis le 9 juin 2026 et exposés sur un réseau — y compris un réseau interne d'entreprise — sont potentiellement exploitables. Les environnements où le port TCP est filtré au périmètre mais ouvert en interne restent vulnérables à un attaquant déjà présent dans le réseau. Les cibles les plus immédiates : datacenters on-premises avec des cycles de patch lents, environnements VDI non maintenus, serveurs hors politique de patching standard.

Recommandations

• Patcher en priorité absolue — urgence P0 : appliquer les correctifs Microsoft de juin 2026 sans attendre le prochain cycle de maintenance. Consulter le Security Update Guide Microsoft pour les KB par version (ex : KB5060533 pour Windows 11 24H2).
• Segmenter le trafic TCP interne si le patch est impossible immédiatement : filtrer les accès TCP entrants non-nécessaires entre segments réseau pour limiter l'exposition au mouvement latéral en cas d'exploitation.
• Déployer les signatures IDS/IPS dédiées : les règles Suricata et Snort pour CVE-2026-45657 sont disponibles depuis le 12 juin 2026. Les déployer sur tous les équipements de filtrage réseau.
• Inventorier les systèmes non-patchés : utiliser un outil de gestion des vulnérabilités (Tenable Nessus, Qualys, Rapid7 InsightVM) pour identifier et prioriser l'ensemble des systèmes Windows concernés dans le parc.