7 min. de lecture \u00b7 Date: 23.04.2026<\/p>\n
Microsoft a publi\u00e9 le 22 avril 2026 une mise \u00e0 jour hors bande et a confirm\u00e9 avec CVE-2026-40372 un bug de score CVSS 9.1 dans ASP.NET Core. La faille permet \u00e0 un attaquant non authentifi\u00e9 d’escalader les privil\u00e8ges jusqu’au niveau SYSTEM en falsifiant des cookies d’authentification. Le correctif dans DataProtection 10.0.7 est disponible. Mais le vrai risque ne r\u00e9side pas dans la faille elle-m\u00eame, mais dans sa propagation: Des milliers d’applications d’entreprise tournent sur des serveurs auto-construits qui n’ont pas de mise \u00e0 jour automatique. Les \u00e9quipes de s\u00e9curit\u00e9 ont maintenant besoin d’un plan clair sur 72 heures.<\/strong><\/p>\n Qu’est-ce que CVE-2026-40372 ?<\/strong> CVE-2026-40372 est une faille d’escalade de privil\u00e8ges dans la biblioth\u00e8que DataProtection d’ASP.NET Core, publi\u00e9e le 22 avril 2026 avec un score CVSS de 9.1. Une r\u00e9gression dans les versions 10.0.0 \u00e0 10.0.6 affaiblit la v\u00e9rification de la signature cryptographique. Un attaquant peut contourner la validation avec un HMAC tout-z\u00e9ro et ainsi falsifier les cookies d’authentification et les jetons Antiforgery. Par la suite, il est possible d’obtenir des privil\u00e8ges SYSTEM sur l’h\u00f4te ASP.NET Core. Microsoft a livr\u00e9 le correctif dans la version 10.0.7.<\/p>\n Le m\u00e9canisme est bien document\u00e9. ASP.NET Core utilise DataProtection pour le chiffrement et la signature des cookies. Si la validation de signature accepte un HMAC tout-z\u00e9ro, n’importe quel cookie peut \u00eatre falsifi\u00e9. Cela ouvre la porte \u00e0 une contournement d’authentification. Ensuite, un attaquant peut prendre le contr\u00f4le de la session d’un administrateur et ex\u00e9cuter du code avec des privil\u00e8ges SYSTEM via le pipeline ASP.NET Core. La cha\u00eene d’escalade est courte, mais les dommages dans les applications de production sont consid\u00e9rables.<\/p>\n Le probl\u00e8me r\u00e9side moins dans la vuln\u00e9rabilit\u00e9 elle-m\u00eame que dans sa propagation. ASP.NET Core fonctionne dans des dizaines de milliers d’applications d’entreprise \u00e0 travers tous les secteurs. De nombreuses de ces applications ont \u00e9t\u00e9 migr\u00e9es vers .NET 10 au cours des 24 derniers mois, sans que la configuration DataProtection ait \u00e9t\u00e9 v\u00e9rifi\u00e9e. Les images de conteneurs avec le runtime .NET 10 sont construites dans des pipelines CI et d\u00e9ploy\u00e9es sur des clusters Kubernetes, sans chemin de correctif automatis\u00e9. Quiconque ne dispose pas d’un m\u00e9canisme de suivi actif pour les updates hors bande de Microsoft risque de passer \u00e0 c\u00f4t\u00e9 de cette vuln\u00e9rabilit\u00e9.<\/p>\n Trois classes d’applications m\u00e9ritent une attention particuli\u00e8re. La premi\u00e8re est l’application web backend classique sur .NET 10. Toute personne exploitant une application web c\u00f4t\u00e9 client dans un secteur r\u00e9glement\u00e9, comme la banque en ligne, les portails d’auto-service client ou les parcours de demande d’assurance, dispose d’une surface d’attaque directement expos\u00e9e. Ici, le correctif devrait \u00eatre d\u00e9ploy\u00e9 en production dans un d\u00e9lai de 48 heures, avec une tra\u00e7abilit\u00e9 d’audit document\u00e9e.<\/p>\n La deuxi\u00e8me classe comprend les passerelles d’API internes et les services de niveau interm\u00e9diaire (Mid-Tier). Ces applications ne sont pas directement accessibles depuis Internet, mais d\u00e8s qu’un attaquant obtient une t\u00eate de pont dans le r\u00e9seau interne, la faille s’aggrave rapidement. Toute entreprise n’appliquant pas une segmentation r\u00e9seau stricte devrait traiter les correctifs de la m\u00eame mani\u00e8re que pour les applications expos\u00e9es \u00e0 Internet. La perspective de conformit\u00e9 concernant DORA et NIS2<\/a> explique pourquoi les applications internes dans les secteurs r\u00e9glement\u00e9s doivent \u00eatre trait\u00e9es de mani\u00e8re similaire.<\/p>\n La troisi\u00e8me classe comprend les applications ASP.NET Core plus anciennes, qui ont \u00e9t\u00e9 migr\u00e9es vers .NET 10 au cours des 24 derniers mois sans que la configuration DataProtection ait \u00e9t\u00e9 v\u00e9rifi\u00e9e. Ces applications sont souvent en mode maintenance et sont mises \u00e0 jour moins fr\u00e9quemment. C’est pr\u00e9cis\u00e9ment pourquoi elles constituent une cible attractive. Un inventaire des restes de migration devrait \u00eatre r\u00e9alis\u00e9 en parall\u00e8le du d\u00e9ploiement des correctifs.<\/p>\n Trois jours suffisent pour une r\u00e9action efficace lorsque l’ing\u00e9nierie et la s\u00e9curit\u00e9 travaillent main dans la main. La logique de \u00e9tapes suivantes s’est av\u00e9r\u00e9e efficace dans plusieurs banques et assureurs de la r\u00e9gion DACH (Allemagne, Autriche, Suisse).<\/p>\n Au cours des douze derniers mois, Microsoft a publi\u00e9 plus fr\u00e9quemment des mises \u00e0 jour hors bande qu’en 2024. Cela modifie les attentes op\u00e9rationnelles en mati\u00e8re de s\u00e9curit\u00e9. Ceux qui ne suivent que le cycle mensuel du Patch Tuesday risquent de manquer r\u00e9guli\u00e8rement les mises \u00e0 jour hors bande critiques. En 2026, les bulletins du Microsoft Security Response Center doivent \u00eatre int\u00e9gr\u00e9s dans un cr\u00e9neau de routine hebdomadaire, avec un plan d’escalade en cas de publications critiques.<\/p>\n Une deuxi\u00e8me observation m\u00e9rite l’attention. ASP.NET Core est une plateforme largement r\u00e9pandue sur le march\u00e9 DACH, notamment dans les secteurs de la finance, des assurances et des services publics. La faille ne concerne pas un composant de niche, mais une couche centrale. Les responsables de la s\u00e9curit\u00e9 qui ne connaissent pas la port\u00e9e de la plateforme de leur entreprise ont un angle mort dans des vagues comme celle-ci. Un inventaire complet de la plateforme, mis \u00e0 jour une fois par an, est b\u00e9n\u00e9fique.<\/p>\n Troisi\u00e8mement : en 2026, la discipline SBOM (Software Bill of Materials) est l’investissement op\u00e9rationnel le plus important. Ceux qui disposent d’une liste compl\u00e8te et bien entretenue des composants logiciels r\u00e9agissent en quelques heures \u00e0 de tels incidents. Ceux qui n’ont pas de SBOM passent les premi\u00e8res 12 heures \u00e0 chercher plut\u00f4t qu’\u00e0 patcher. Des fournisseurs comme Anchore, Snyk et Sysdig disposent en 2026 d’outils matures qui automatisent la g\u00e9n\u00e9ration de SBOM et la comparaison avec les CVE. L’investissement est rentable d\u00e8s le premier incident critique.<\/p>\n CVE-2026-40372 s’inscrit dans une s\u00e9rie. La mise \u00e0 jour CISA KEV du 20 avril<\/a> avec huit autres vuln\u00e9rabilit\u00e9s, y compris la r\u00e9activation de PaperCut<\/a> et plusieurs patchs mineurs, ont durablement occup\u00e9 les op\u00e9rations de s\u00e9curit\u00e9 en 2026. La s\u00e9quence montre que la charge op\u00e9rationnelle augmente. Les \u00e9quipes qui pouvaient g\u00e9rer deux CVE critiques par mois en 2024 voient quatre \u00e0 six par semaine en 2026.<\/p>\n Structurellement, cela n\u00e9cessite une architecture de personnel diff\u00e9rente dans les op\u00e9rations de s\u00e9curit\u00e9. Ceux qui travaillent avec le mod\u00e8le classique de SOC \u00e0 trois niveaux seront \u00e0 la tra\u00eene en 2026. La visibilit\u00e9 de l’ing\u00e9nierie des plateformes, les pipelines de patchs automatis\u00e9s et l’inventaire bas\u00e9 sur SBOM doivent devenir des \u00e9quipements standard. Ceux qui reportent cela s’exposent \u00e0 une friction croissante qui deviendra visible au cours des prochains trimestres.<\/p>\n Pour les conseils d’administration, l’incident offre une occasion concr\u00e8te d’agir. Poser une question sur l’\u00e9tat des patchs lors de la prochaine r\u00e9union du conseil d’administration sensibilisera le CISO et le CIO au sujet. Une deuxi\u00e8me question sur la discipline SBOM fournira un bon indicateur de maturit\u00e9. Ceux qui peuvent r\u00e9pondre concr\u00e8tement \u00e0 ces deux questions en 30 secondes ont une gouvernance de s\u00e9curit\u00e9 fonctionnelle. Ceux qui restent vagues ont un besoin d’investissement identifiable.<\/p>\n DataProtection dans les versions 10.0.0 \u00e0 10.0.6. Le correctif dans la version 10.0.7 est disponible depuis le 22 avril 2026. Les versions majeures plus anciennes ne sont pas directement concern\u00e9es, mais devraient \u00eatre v\u00e9rifi\u00e9es ind\u00e9pendamment de leur statut de cycle de vie.<\/p>\n Pas obligatoirement. Pour les applications avec une exposition courte et sans signes d’exploitation, le correctif suffit. Pour les applications expos\u00e9es \u00e0 Internet avec une exposition prolong\u00e9e, une rotation des cookies est judicieuse, car on ne peut exclure que des cookies aient d\u00e9j\u00e0 \u00e9t\u00e9 compromis.<\/p>\n Via une recherche SBOM de Microsoft.AspNetCore.DataProtection dans l’une des versions mentionn\u00e9es. Des analyses d’images de conteneurs avec Trivy, Grype ou Snyk identifient les packages affect\u00e9s dans les couches d’image. Les \u00e9quipes de d\u00e9veloppement peuvent g\u00e9n\u00e9ralement donner un statut en quelques heures.<\/p>\n CISA a document\u00e9 l’incident rapidement, sans inscription formelle KEV jusqu’au 23 avril. Le BSI a publi\u00e9 un avertissement pr\u00e9alable. Les deux organismes recommandent un correctif imm\u00e9diat. L’inscription formelle KEV pourrait suivre dans les prochains jours si une exploitation active est confirm\u00e9e.<\/p>\n Alertes SIEM pour les motifs inhabituels de renouvellement de cookies, les tentatives inhabituelles d’escalade de privil\u00e8ges \u00e0 partir du contexte du processus ASP.NET Core et les anomalies dans les journaux d’authentification. Une recherche EDR sur les processus suspects g\u00e9n\u00e9r\u00e9s \u00e0 partir de processus IIS ou Kestrel compl\u00e8te la couche de d\u00e9tection.<\/p>\n Plus fr\u00e9quemment qu’en 2024. Au cours des douze derniers mois, plusieurs correctifs critiques hors bande ont \u00e9t\u00e9 d\u00e9ploy\u00e9s. Une consultation hebdomadaire r\u00e9guli\u00e8re des bulletins du Microsoft Security Response Center est le bon rythme pour 2026.<\/p>\n ASP.NET Core CVE-2026-40372: Cons\u00e9quences en mati\u00e8re de conformit\u00e9 selon DORA et NIS2<\/a><\/p>\n Mise \u00e0 jour CISA KEV avril 2026 avec huit CVEs et d\u00e9lais<\/a><\/p>\n Squidex SSRF CVE-2026-41172: Cha\u00eene d’approvisionnement de Headless-CMS<\/a><\/p>\n<\/div>\nPoints cl\u00e9s<\/h2>\n
\n
Que fait cette vuln\u00e9rabilit\u00e9 concr\u00e8tement<\/h2>\n
Quelles classes d’applications sont particuli\u00e8rement critiques<\/h2>\n
Ce que les \u00e9quipes de s\u00e9curit\u00e9 doivent faire imm\u00e9diatement<\/h3>\n
\n
Ce qui ne fonctionne pas<\/h3>\n
\n
Un plan de r\u00e9action en 72 heures pour les op\u00e9rations de s\u00e9curit\u00e9<\/h2>\n
Ce que la faille r\u00e9v\u00e8le sur les routines de patch de Microsoft en 2026<\/h2>\n
Comment la r\u00e9action s’int\u00e8gre dans le tableau des patchs du T2<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Quelles versions d’ASP.NET Core sont concern\u00e9es ?<\/h3>\n
Une rotation des cookies est-elle toujours n\u00e9cessaire ?<\/h3>\n
Comment savoir si mon application est vuln\u00e9rable ?<\/h3>\n
Comment CISA et BSI r\u00e9agissent-ils \u00e0 l’incident ?<\/h3>\n
Quelles r\u00e8gles de d\u00e9tection sont pertinentes ?<\/h3>\n
\u00c0 quelle fr\u00e9quence Microsoft publie-t-il des correctifs hors bande en 2026 ?<\/h3>\n
Recommandations de lecture de la r\u00e9daction<\/h2>\n