Microsoft a corrigé un nombre record de 570 failles de sécurité dans le code Windows lors du Patch Tuesday de juillet 2026. C’est presque trois fois plus que le mois précédent. L’éditeur a notamment colmaté trois failles de sécurité de type zero day, dont deux vulnérabilités activement exploitées dans des cyberattaques.
Quelques heures après la publication du patch mensuel, Nightmare-Eclipse, un chercheur en sécurité en conflit ouvert avec Microsoft, a divulgué une nouvelle vulnérabilité dans Windows. Fidèle à ses habitudes, le chercheur n’a pas prévenu Microsoft avant de tout balancer sur Internet. Le chercheur a même mis en ligne une méthode d’exploitation de la défaillance.
À lire aussi : Microsoft dévoile deux solutions d’urgence suite à une faille critique de BitLocker
La faille LegacyHive
La nouvelle faille s’intitule LegacyHive, et touche toutes les versions de Windows, même celles entièrement mises à jour avec les correctifs de juillet 2026. Elle se trouve dans Windows User Profile Service, un composant central chargé de gérer les comptes et les environnements utilisateurs à chaque connexion. En exploitant la brèche, un attaquant peut obtenir des privilèges plus élevés sur le système. De fil en aiguille, il peut ainsi s’emparer de données sensibles.
Cette fois, le chercheur à l’origine de la découverte n’a pas divulgué tous les détails techniques de la faille. Il explique vouloir éviter une exploitation massive et immédiate. C’est pourquoi la méthode d’exploitation diffusée en ligne est limitée. D’après les chercheurs de ThreatLocker, cette limitation réduit les risques d’exploitation. Le code ne permet pas en lui-même de récupérer des empreintes de mots de passe ni d’exécuter du code avec des privilèges élevés.
Néanmoins, les découvertes diffusées par Nightmare-Eclipse pourraient déjà aboutir à des attaques. Pour le moment, aucun identifiant CVE ni avis de sécurité officiel n’a été attribué à LegacyHive par Microsoft. La société affirme être en train d’analyser les découvertes du chercheur. Gageons que l’éditeur ne tardera pas à déployer une mise à jour de sécurité pour corriger le tir. En attendant un correctif officiel, les experts recommandent aux administrateurs Windows de restreindre les accès locaux aux seuls utilisateurs de confiance et de surveiller toute activité inhabituelle de chargement de profils
9 failles de sécurité déjà divulguées par Nightmare-Eclipse
Pour rappel, Nightmare-Eclipse a déjà divulgué un total de neuf vulnérabilités Windows sans se concerter avec Microsoft. Le chercheur critique vigoureusement la façon dont Microsoft traite les signalements de vulnérabilités. C’est pourquoi il publie des méthodes d’exploitation sans en avertir l’éditeur.
Plusieurs de ses précédentes découvertes, touchant notamment Windows Defender et BitLocker, ont d’ailleurs été exploitées par des cybercriminels avant que Microsoft ne puisse agir. Par le passé, Microsoft a regretté que le chercheur divulgue des failles sur Internet avant de le prévenir. C’est une « violation des bonnes pratiques de gestion des vulnérabilités », estimait Microsoft.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Ars Technica

