Le Patch Tuesday du 12 mai 2026 sera la dernière fenêtre confortable avant l'expiration du certificat Secure Boot Microsoft le 26 juin. Deux CVE déjà exploitées au programme.
En bref
- Microsoft livre son Patch Tuesday le 12 mai 2026 à 18h UTC
- Dernière fenêtre confortable avant l'expiration du certificat Secure Boot le 26 juin 2026
- CVE-2026-32202 et CVE-2026-33825 (Bluehammer) déjà exploitées et inscrites au KEV de la CISA
Les faits
Microsoft publiera le mardi 12 mai 2026 à 18h UTC son cycle mensuel Patch Tuesday. Selon les prévisions de Help Net Security et de PatchaPalooza, la livraison contiendra une cinquantaine de correctifs concernant Windows 10, 11, Server 2019, 2022 et 2025, ainsi que les composants Office, Azure, Hyper-V et Microsoft Defender. Deux vulnérabilités déjà exploitées dans la nature attirent l'attention des équipes de patch management.
La première, CVE-2026-32202, a été inscrite au catalogue Known Exploited Vulnerabilities de la CISA avec une deadline fédérale fixée au 12 mai. La nature exacte de la faille n'a pas été détaillée dans l'avis préliminaire, mais le ticket d'urgence interne diffusé chez plusieurs MSSP indique une élévation de privilèges au niveau noyau exploitable depuis un compte standard. Microsoft confirme que des exploitations ciblées ont été détectées sur des postes Windows 11 et Server 2022.
La seconde, CVE-2026-33825, est associée à la chaîne d'exploits surnommée Bluehammer. Cet acteur, identifié pour la première fois fin avril 2026, opère plusieurs vulnérabilités liées à Microsoft Defender et aux composants AntiMalware Service. Le correctif d'avril a colmaté la première faille de la chaîne, mais deux exploits suivants nommés RedSun et UnDefend, attribués au même groupe, restent ouverts. La cinquième révision de l'avis Microsoft mentionne un correctif partiel, ce qui implique que la chaîne complète ne sera pas neutralisée par la mise à jour du 12 mai.
Au-delà des CVE individuelles, la véritable enjeu de ce mois est la fenêtre de déploiement des correctifs Secure Boot. Le certificat racine utilisé par Microsoft pour signer les bootloaders et les drivers UEFI tiers expire le 26 juin 2026, soit moins de sept semaines après le 12 mai. Toute machine n'ayant pas reçu le nouveau certificat avant cette date refusera de démarrer sur la majorité des configurations UEFI commerciales, sauf désactivation totale de Secure Boot, qui n'est pas une option dans les environnements régulés.
Microsoft a publié plusieurs bulletins préparatoires depuis mars 2026 et a pré-déployé le nouveau certificat dans les images d'installation Windows 11 24H2 et Server 2025. La problématique se concentre sur le parc existant, particulièrement les machines hors domaine, les VM dormantes, les images de référence Linux dual-boot, et l'ensemble du parc ESXi qui dépend de la chaîne de signature Microsoft pour le boot UEFI sécurisé. Les opérateurs de centres de données qui n'auront pas migré avant le 26 juin risquent un blocage massif de redémarrages planifiés.
L'autre élément structurant de cette publication concerne la stratégie produit. Microsoft a annoncé fin avril sa participation au Project Glasswing, un consortium de douze entreprises associées à Anthropic pour évaluer un nouveau modèle de découverte de vulnérabilités appelé Mythos. Selon les notes de version partielles partagées avec les analystes, plusieurs CVE de mai 2026 auraient été identifiées par ce modèle pendant la phase préview. C'est la première fois qu'un fournisseur reconnaît publiquement que des correctifs Patch Tuesday proviennent d'une découverte assistée par IA.
Le rythme global du Patch Tuesday continue de monter. Avril 2026 a livré 163 vulnérabilités dont 8 critiques, février avait corrigé 59 CVE dont six zero-days. La trajectoire annuelle dépasse les 1 200 CVE Microsoft, en hausse de 11 % par rapport à 2025. Cette inflation s'explique en partie par la couverture accrue des produits cloud (Defender for Cloud, Sentinel, Entra) et par l'intégration de nouveaux composants IA dans Windows et Microsoft 365 qui élargissent la surface d'attaque.
Côté méthode, les équipes patch management gagnent à anticiper les phases de test. Les SCCM, Intune et WSUS publient les paquets dans la foulée du Patch Tuesday, mais les phases de validation préprod doivent intégrer le scénario Secure Boot certificat dans leurs scripts de vérification post-déploiement. Plusieurs scripts PowerShell signés par Microsoft permettent de valider que le nouveau certificat KEK est bien inscrit dans le firmware avant de propager en production.
Impact et exposition
Toute organisation gérant un parc Windows ou Server doit considérer que la fenêtre du 12 mai est la dernière opportunité confortable de patcher sereinement avant la deadline Secure Boot. Au-delà du 26 juin, les machines non mises à jour risqueront le blocage au démarrage suivant. Les environnements ESXi, Hyper-V, et les flottes Linux signées avec le certificat Microsoft (Ubuntu, Red Hat, SUSE) sont également concernés et nécessitent une vérification spécifique.
Recommandations
- Programmer le déploiement Patch Tuesday du 12 mai en commençant par les serveurs de production critiques, après validation préprod ciblée sur 24 à 48h
- Identifier les CVE-2026-32202 et CVE-2026-33825 dans la chaîne de patch et prioriser leur installation indépendamment des autres correctifs si nécessaire
- Lancer un inventaire des machines en dette de Secure Boot via Microsoft Defender Vulnerability Management ou Tanium, en ciblant les VM dormantes, les serveurs hors domaine et les images de référence
- Tester sur trois ou quatre machines représentatives la séquence de mise à jour du certificat KEK, suivie d'un reboot complet, avant le 1er juin
- Documenter une procédure de fallback (désactivation contrôlée de Secure Boot) pour les machines qui n'auront pas pu être mises à jour à temps, avec validation conformité préalable
Alerte critique
Le 26 juin 2026 marque l'expiration du certificat Secure Boot Microsoft sur lequel reposent des centaines de millions de machines, y compris les flottes Linux signées par Microsoft. Reporter cette migration au-delà de juin expose à un blocage de boot massif au prochain redémarrage. Le Patch Tuesday du 12 mai est la fenêtre clé : il reste seulement deux cycles mensuels avant la deadline.
Comment vérifier si une machine a déjà reçu le nouveau certificat Secure Boot ?
Sur Windows, exécutez la commande PowerShell Get-SecureBootUEFI db et recherchez la présence du certificat « Microsoft UEFI CA 2024 » dans la sortie. Sur Linux, utilisez mokutil --list-enrolled. Microsoft fournit également un script PSGallery officiel nommé Confirm-SecureBootUEFICertExpiry qui automatise le contrôle pour des parcs entiers via Configuration Manager.
Que se passe-t-il pour une VM dormante depuis 6 mois ?
Une VM mise en pause ou éteinte depuis longtemps n'a pas reçu les mises à jour cumulées 2026 et donc pas le nouveau certificat. Au prochain démarrage, si Secure Boot est actif et que le firmware UEFI rejette le bootloader signé avec l'ancienne autorité, la machine ne démarrera pas. La parade consiste à démarrer ces VM avant le 26 juin pour qu'elles reçoivent le patch, ou à désactiver temporairement Secure Boot avec une procédure de validation conformité.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-23918 : Apache HTTP/2 double-free, RCE en cours
CVE-2026-23918, double-free critique dans mod_http2 d'Apache 2.4.66. Exploit RCE public, exploitation DoS active. Patch 2.4.67 à déployer en urgence.
Canvas piraté : 275 millions d'élèves et profs exposés
ShinyHunters revendique le vol de 275 millions de dossiers chez Instructure, éditeur de Canvas. 9 000 établissements concernés, ultimatum fixé au 12 mai 2026.
Microsoft Agent 365 en GA : agents IA gouvernés à 15 $/user
Microsoft a fait passer Agent 365 et Microsoft 365 E7 en disponibilité générale le 1er mai 2026. Le plan de contrôle des agents IA est facturé 15 $/user, ou inclus dans la suite Frontier à 99 $.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire