7 min de lecture \u00b7 Mise \u00e0 jour : 23.04.2026<\/p>\n
Microsoft a publi\u00e9 le 22\u202favril\u202f2026 une mise \u00e0 jour hors cycle et, avec CVE-2026-40372, a confirm\u00e9 un bug CVSS\u202f9,1 dans ASP.NET Core. La faille permet \u00e0 un attaquant non authentifi\u00e9 d\u2019escalader ses privil\u00e8ges jusqu\u2019au niveau SYSTEM en falsifiant les cookies d\u2019authentification. Le correctif dans DataProtection\u202f10.0.7 est disponible. Le v\u00e9ritable risque ne r\u00e9side pas dans la faille elle\u2011m\u00eame, mais dans sa diffusion\u202f: des milliers d\u2019applications d\u2019entreprise s\u2019ex\u00e9cutent sur des serveurs faits maison, d\u00e9pourvus de mise \u00e0 jour automatique. Les \u00e9quipes de s\u00e9curit\u00e9 ont d\u00e9sormais besoin d\u2019un plan propre de 72\u202fheures.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Qu\u2019est\u2011ce que CVE-2026-40372\u202f?<\/strong> CVE-2026-40372 est une faille d\u2019escalade de privil\u00e8ges dans la biblioth\u00e8que ASP.NET Core DataProtection, publi\u00e9e le 22\u202favril\u202f2026 avec un score CVSS de 9,1. Une r\u00e9gression dans les versions\u202f10.0.0 \u00e0\u202f10.0.6 affaiblit la v\u00e9rification cryptographique des signatures. Un attaquant peut contourner la validation avec un HMAC tout z\u00e9ro et ainsi falsifier les cookies d\u2019authentification et les jetons anti\u2011forgery. Il peut ensuite obtenir des privil\u00e8ges SYSTEM sur l\u2019h\u00f4te ASP.NET Core. Microsoft a livr\u00e9 le correctif dans la version\u202f10.0.7.<\/p>\n Le m\u00e9canisme est bien document\u00e9. ASP.NET Core utilise DataProtection pour le chiffrement et la signature des cookies. Lorsque la validation de la signature accepte un HMAC tout z\u00e9ro, il est possible de falsifier n\u2019importe quel cookie. Cela ouvre la porte \u00e0 un contournement d\u2019authentification. Un attaquant peut alors prendre le contr\u00f4le de la session d\u2019un administrateur et ex\u00e9cuter du code avec les privil\u00e8ges SYSTEM via le pipeline ASP.NET Core. La cha\u00eene d\u2019escalade est courte, le pr\u00e9judice dans les applications en production est consid\u00e9rable.<\/p>\n Le probl\u00e8me r\u00e9side moins dans la faille elle\u2011m\u00eame que dans sa diffusion. ASP.NET Core est pr\u00e9sent dans des dizaines de milliers d\u2019applications d\u2019entreprise, tous secteurs confondus. Nombre de ces applications ont \u00e9t\u00e9 migr\u00e9es vers .NET\u202f10 au cours des 24\u202fderniers mois, sans que la configuration DataProtection ne soit v\u00e9rifi\u00e9e. Des images de conteneurs avec le runtime .NET\u202f10 sont construites dans des pipelines CI et d\u00e9ploy\u00e9es sur des clusters Kubernetes, sans chemin de correctif automatis\u00e9. Qui ne dispose pas d\u2019un m\u00e9canisme de suivi actif des mises \u00e0 jour hors cycle de Microsoft passe facilement \u00e0 c\u00f4t\u00e9 de la faille.<\/p>\n Trois cat\u00e9gories d\u2019applications m\u00e9ritent une attention particuli\u00e8re. La premi\u00e8re est l\u2019application classique de back\u2011end web sous .NET\u202f10. Qui exploite une application web c\u00f4t\u00e9 client dans un secteur r\u00e9glement\u00e9, tel que la banque en ligne, les portails d\u2019auto\u2011service client ou les parcours de demande d\u2019assurance, dispose d\u2019une surface d\u2019attaque directement expos\u00e9e. Le correctif doit \u00eatre mis en production dans les 48\u202fheures, avec une tra\u00e7abilit\u00e9 d\u2019audit document\u00e9e.<\/p>\n La deuxi\u00e8me cat\u00e9gorie regroupe les passerelles d\u2019API internes et les services de niveau interm\u00e9diaire. Ces applications ne sont pas directement accessibles depuis Internet, mais d\u00e8s qu\u2019un attaquant obtient un point d\u2019ancrage dans le r\u00e9seau interne, la faille s\u2019escalade rapidement. Qui ne met pas en \u0153uvre une segmentation r\u00e9seau stricte doit traiter les correctifs de la m\u00eame fa\u00e7on que pour les applications expos\u00e9es \u00e0 Internet. Le point de vue conformit\u00e9 sur DORA et NIS2<\/a> explique pourquoi les applications internes dans les secteurs r\u00e9glement\u00e9s doivent \u00eatre trait\u00e9es de fa\u00e7on similaire.<\/p>\n La troisi\u00e8me cat\u00e9gorie concerne les anciennes applications ASP.NET\u202fCore qui ont \u00e9t\u00e9 migr\u00e9es vers .NET\u202f10 au cours des 24\u202fderniers mois, sans que la configuration DataProtection n\u2019ait \u00e9t\u00e9 v\u00e9rifi\u00e9e. Ces applications sont souvent en statut de maintenance et sont mises \u00e0 jour moins fr\u00e9quemment. C\u2019est pr\u00e9cis\u00e9ment pour cette raison qu\u2019elles constituent une cible attrayante. Un inventaire des restes de migration doit \u00eatre men\u00e9 en parall\u00e8le du d\u00e9ploiement des correctifs.<\/p>\n Trois jours suffisent pour une r\u00e9action propre, lorsque l\u2019ing\u00e9nierie et la s\u00e9curit\u00e9 travaillent main dans la main. La logique en \u00e9tapes suivante s\u2019est av\u00e9r\u00e9e efficace dans plusieurs banques et assureurs de la r\u00e9gion DACH.<\/p>\n Microsoft a publi\u00e9, au cours des douze derniers mois, des mises \u00e0 jour hors cycle (out\u2011of\u2011band) plus fr\u00e9quemment qu\u2019en 2024. Cela modifie les attentes op\u00e9rationnelles vis\u2011\u00e0\u2011vis des op\u00e9rations de s\u00e9curit\u00e9. Qui ne suit que le cycle mensuel Patch\u202fTuesday passe r\u00e9guli\u00e8rement \u00e0 c\u00f4t\u00e9 des mises \u00e0 jour critiques hors cycle. Les bulletins du Microsoft Security Response Center devront, en 2026, \u00eatre int\u00e9gr\u00e9s \u00e0 une plage hebdomadaire, avec un chemin d\u2019escalade pour les publications critiques.<\/p>\n Une deuxi\u00e8me observation m\u00e9rite votre attention. ASP.NET\u202fCore est une plateforme tr\u00e8s r\u00e9pandue sur le march\u00e9 DACH, notamment dans les secteurs financier, assurantiel et des services publics. La faille ne touche pas un composant de niche, mais une couche centrale. Si, en tant que responsable de la s\u00e9curit\u00e9, vous ne connaissez pas l\u2019\u00e9tendue de la plateforme au sein de votre organisation, vous avez un angle mort lors de vagues comme celle\u2011ci. Un inventaire de plateforme fondamental, mis \u00e0 jour une fois par an, s\u2019av\u00e8re rentable.<\/p>\n Troisi\u00e8mement\u202f: la discipline SBOM constitue, en 2026, l\u2019investissement op\u00e9rationnel le plus important. Qui poss\u00e8de une liste compl\u00e8te et \u00e0 jour des composants logiciels r\u00e9agit en quelques heures \u00e0 de tels incidents. Qui n\u2019a pas de SBOM consacre les douze premi\u00e8res heures \u00e0 la recherche plut\u00f4t qu\u2019au correctif. Des fournisseurs tels qu\u2019Anchore, Snyk et Sysdig proposent, en 2026, des outils matures qui automatisent la g\u00e9n\u00e9ration de SBOM et la corr\u00e9lation des CVE. L\u2019investissement porte ses fruits d\u00e8s le premier incident critique.<\/p>\n CVE-2026-40372 s\u2019inscrit dans une s\u00e9rie. La mise \u00e0 jour CISA\u2011KEV du 20\u202favril<\/a> avec huit autres vuln\u00e9rabilit\u00e9s, la r\u00e9activation de PaperCut<\/a> et plusieurs correctifs mineurs ont occup\u00e9 en permanence les op\u00e9rations de s\u00e9curit\u00e9 en 2026. La s\u00e9quence montre que la charge op\u00e9rationnelle augmente. Les \u00e9quipes qui pouvaient g\u00e9rer deux CVE critiques par mois en 2024 en voient d\u00e9sormais quatre \u00e0 six par semaine en 2026.<\/p>\n Sur le plan structurel, cela n\u00e9cessite une autre architecture du personnel dans les op\u00e9rations de s\u00e9curit\u00e9. Ceux qui utilisent le mod\u00e8le SOC \u00e0 trois niveaux classique seront \u00e0 la tra\u00eene en 2026. La visibilit\u00e9 de l\u2019ing\u00e9nierie de plateforme, les pipelines de correctifs automatis\u00e9s et l\u2019inventaire bas\u00e9 sur les SBOM doivent faire partie de l\u2019\u00e9quipement standard. Reporter cela cr\u00e9e une friction croissante qui deviendra visible au cours des prochains trimestres.<\/p>\n Pour les dirigeants, l\u2019incident constitue un motif d\u2019action concret. Une question sur l\u2019\u00e9tat des correctifs \u00e0 la prochaine r\u00e9union du conseil aiguise le sujet aupr\u00e8s du CISO et du CIO. Une seconde question sur la discipline SBOM constitue un bon test de maturit\u00e9. Qui peut r\u00e9pondre concr\u00e8tement aux deux questions en 30\u202fsecondes dispose d\u2019une gouvernance de s\u00e9curit\u00e9 fonctionnelle. Qui fournit des r\u00e9ponses vagues a un besoin d\u2019investissement identifiable.<\/p>\n DataProtection dans les versions 10.0.0 \u00e0 10.0.6. Le correctif en 10.0.7 est disponible depuis le 22\u202favril\u202f2026. Les versions majeures ant\u00e9rieures ne sont pas directement concern\u00e9es, mais devraient \u00eatre v\u00e9rifi\u00e9es ind\u00e9pendamment de leur statut de cycle de vie.<\/p>\n Pas forc\u00e9ment. Pour les applications \u00e0 exposition courte et sans signe d\u2019exploitation, le correctif suffit. Pour les applications expos\u00e9es \u00e0 Internet pendant une p\u00e9riode plus longue, une rotation des cookies est judicieuse, car on ne peut exclure que des cookies aient d\u00e9j\u00e0 \u00e9t\u00e9 compromis.<\/p>\n En recherchant dans le SBOM le composant Microsoft.AspNetCore.DataProtection dans l\u2019une des versions mentionn\u00e9es. Les analyses d\u2019images de conteneurs avec Trivy, Grype ou Snyk identifient les paquets affect\u00e9s dans les couches d\u2019image. Les \u00e9quipes de d\u00e9veloppement peuvent g\u00e9n\u00e9ralement fournir un \u00e9tat des lieux en quelques heures.<\/p>\n Le CISA a document\u00e9 l\u2019incident rapidement, sans enregistrement formel KEV jusqu\u2019au 23\u202favril. Le BSI a publi\u00e9 un avertissement pr\u00e9liminaire. Les deux organismes recommandent de corriger imm\u00e9diatement. L\u2019enregistrement formel KEV pourrait suivre dans les prochains jours, si une exploitation active est confirm\u00e9e.<\/p>\n Alertes SIEM pour des mod\u00e8les inhabituels de renouvellement de cookies, des tentatives inhabituelles d\u2019\u00e9l\u00e9vation de privil\u00e8ges depuis le contexte du processus ASP.NET Core et des anomalies dans les journaux d\u2019authentification. La chasse EDR sur les spawns de processus suspects provenant d\u2019IIS ou de Kestrel compl\u00e8te la couche de d\u00e9tection.<\/p>\n Plus fr\u00e9quent qu\u2019en 2024. Au cours des douze derniers mois, plusieurs correctifs critiques hors cycle ont \u00e9t\u00e9 livr\u00e9s. Un examen hebdomadaire de routine des bulletins du Microsoft Security Response Center constitue le bon rythme en 2026.<\/p>\n ASP.NET Core CVE-2026-40372\u202f: cons\u00e9quences de conformit\u00e9 sous DORA et NIS2<\/a><\/p>\n Mise \u00e0 jour CISA KEV avril\u202f2026 avec huit CVE et \u00e9ch\u00e9ances<\/a><\/p>\n\n
Ce que la faille fait concr\u00e8tement<\/h2>\n
Quelles cat\u00e9gories d\u2019applications sont particuli\u00e8rement critiques<\/h2>\n
Ce que les op\u00e9rations de s\u00e9curit\u00e9 doivent faire imm\u00e9diatement<\/h3>\n
\n
Ce qui ne fonctionne pas<\/h3>\n
\n
Un plan de r\u00e9action de 72\u202fheures pour les op\u00e9rations de s\u00e9curit\u00e9<\/h2>\n
Ce que la faille r\u00e9v\u00e8le sur les routines de correctifs Microsoft en 2026<\/h2>\n
Comment la r\u00e9action s\u2019ins\u00e8re dans le panorama des correctifs du T2<\/h2>\n
Foire aux questions<\/h2>\n
Quelles versions d\u2019ASP.NET Core sont concern\u00e9es\u202f?<\/h3>\n
Une rotation des cookies est\u2011elle toujours n\u00e9cessaire\u202f?<\/h3>\n
Comment savoir si mon application est vuln\u00e9rable\u202f?<\/h3>\n
Comment le CISA et le BSI r\u00e9agissent-ils \u00e0 l\u2019incident\u202f?<\/h3>\n
Quelles r\u00e8gles de d\u00e9tection sont pertinentes\u202f?<\/h3>\n
\u00c0 quelle fr\u00e9quence Microsoft publie-t-il des correctifs hors cycle en 2026\u202f?<\/h3>\n
Conseils de lecture de la r\u00e9daction<\/h2>\n