Vague de failles zero-day : Chrome, Microsoft Defender et Tchap touchés

Newsletter IT professionnelle · 10/06/2026

Vague de failles zero-day : Chrome, Microsoft Defender et Tchap touchés

Pour decideurs IT, DSI, RSSI et dirigeants PME.

Synthese executive

Le 10 juin 2026 s'annonce comme une journée critique en cybersécurité. Microsoft corrige un nombre record de 206 vulnérabilités, dont trois zero-days, tandis que Google Chrome patch 74 failles dont une activement exploitée. La messagerie chiffrée de l'État français, Tchap, a été compromise, et un projet britannique de scan généralisé des appareils suscite l'indignation de Signal.

Articles analysés

168

Articles qualifiés

Chiffre clé extrait

206 vulnérabilités

Nombre record de failles corrigées par Microsoft dans son patch du 10 juin 2026, dont trois zero-day et 39 vulnérabilités critiques.

A la une

Le sujet qui demande une decision

Critique thehackernews.com · confiance 5.0/5

Microsoft corrige un nombre record de 206 vulnérabilités, dont trois failles zero-day

Microsoft a publié des correctifs pour 206 failles de sécurité, un record, incluant trois vulnérabilités zero-day et 39 vulnérabilités critiques. Parmi les failles corrigées figurent 63 élévations de privilèges et 56 exécutions de code à distance.

Impact decisionnel

Le volume exceptionnel de correctifs et la présence de zero-days rendent cette mise à jour prioritaire pour toutes les organisations utilisant l'écosystème Microsoft.

Lire la source

Section 2

Cybersécurité – Vulnérabilités critiques

Critique it-connect.fr · confiance 5.0/5

Google Chrome : 74 vulnérabilités patchées, dont une faille zero-day déjà exploitée

Google Chrome corrige 74 vulnérabilités, dont une faille zero-day activement exploitée (CVE-2026-11645). Cette mise à jour critique nécessite un déploiement immédiat pour protéger les utilisateurs contre les attaques en cours.

Lire la source

Critique thehackernews.com · confiance 5.0/5

Faille zero-day Microsoft Defender RoguePlanet : un accès SYSTEM sur Windows

Un chercheur anonyme (Chaotic Eclipse) a publié un exploit proof-of-concept pour une vulnérabilité zero-day de Microsoft Defender baptisée RoguePlanet. L'exploit repose sur une condition de course et permet d'obtenir un accès SYSTEM sur des systèmes Windows à jour.

Lire la source

Critique it-connect.fr · confiance 5.0/5

Trois failles critiques sur UniFi OS Server : accès root possible, patchez immédiatement

Trois vulnérabilités (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910) affectent UniFi OS Server et permettent, combinées, d'obtenir un accès root et d'exécuter du code arbitraire. Ubiquiti a publié des correctifs.

Lire la source

Critique thehackernews.com · confiance 5.0/5

Faille Veeam Backup & Replication : exécution de code à distance (CVSS 9,4)

Veeam a corrigé une vulnérabilité critique (CVE-2026-44963) dans Backup & Replication permettant l'exécution de code à distance. Avec un score CVSS de 9,4 sur 10, cette faille concerne les utilisateurs authentifiés du domaine.

Lire la source

Critique thehackernews.com · confiance 5.0/5

Six vulnérabilités Proto6 dans protobuf.js : RCE et DoS sur les applications Node.js

Six failles critiques dans protobuf.js, une implémentation JavaScript/TypeScript de Protocol Buffers, pourraient permettre l'exécution de code à distance et des attaques par déni de service via des schémas ou payloads malveillants.

Lire la source

Critique thehackernews.com · confiance 5.0/5

Faille ServiceNow exploitée : accès non autorisé à des instances clients

ServiceNow a révélé qu'une faille a été exploitée par des acteurs menaçants non identifiés pour obtenir un accès non autorisé à des instances clients. Un correctif a été déployé le 5 juin 2026 sur les instances hébergées.

Lire la source

Section 3

Cybersécurité – Attaques et compromissions

Critique it-connect.fr · confiance 5.0/5

Cyberattaque Tchap : un pirate s'introduit sur la messagerie chiffrée de l'État français

Tchap, la messagerie instantanée chiffrée réservée aux agents publics français, a été compromise suite à la compromission du compte d'un agent. Un pirate a réussi à accéder à cette plateforme sécurisée de l'État.

Lire la source

Section 4

Vie privée et régulation

Critique zataz.com · confiance 5.0/5

Signal dénonce un projet britannique de scan généralisé des appareils

Signal met en garde contre un projet britannique visant à scanner les appareils des utilisateurs, une mesure jugée dangereuse pour la vie privée et la cybersécurité. L'application de messagerie chiffrée alerte sur les risques d'une telle surveillance généralisée.

Lire la source

Section 5

Intelligence artificielle

Critique thehackernews.com · confiance 5.0/5

Anthropic lance Claude Fable 5, son modèle le plus puissant, avec des garde-fous cyber

Anthropic a publié Claude Fable 5, son modèle le plus performant à ce jour, disponible au grand public avec des garde-fous de sécurité. Un jumeau nommé Claude Mythos 5, dépourvu de ces protections, est réservé à un groupe restreint de professionnels de la cybersécurité.

Lire la source

Focus executif

La multiplication des zero-day : un signal d'alarme pour les DSI

La journée du 10 juin 2026 illustre une tendance préoccupante : la multiplication simultanée de vulnérabilités zero-day activement exploitées. Entre la faille CVE-2026-11645 de Google Chrome, les trois zero-days corrigés par Microsoft dans son lot record de 206 correctifs, et la vulnérabilité RoguePlanet de Microsoft Defender pour laquelle un proof-of-concept public existe déjà, les équipes de sécurité font face à une pression sans précédent. À cela s'ajoute la compromission de Tchap, la messagerie de l'État français, qui rappelle que même les plateformes gouvernementales chiffrées ne sont pas à l'abri. Cette convergence de menaces exige une réactivité maximale : les DSI doivent prioriser le patching immédiat des systèmes exposés, vérifier l'intégrité des instances cloud (ServiceNow, Veeam) et renforcer la surveillance des endpoints. Le fait qu'un chercheur anonyme publie un exploit fonctionnel pour Defender — un outil censé protéger les systèmes — souligne l'ironie et la gravité du moment.

it-connect.fr · thehackernews.com · thehackernews.com

Decisions conseillees

Actions a envisager aujourd'hui

Déployer immédiatement les correctifs Microsoft (206 failles) et Google Chrome (74 failles, dont CVE-2026-11645) sur l'ensemble des postes et serveurs exposés.

Appliquer sans délai les patches Ubiquiti pour UniFi OS Server (CVE-2026-34908/34909/34910) et Veeam Backup & Replication (CVE-2026-44963, CVSS 9,4) pour prévenir tout accès root ou exécution de code à distance.

Auditer les accès aux instances ServiceNow et vérifier que le correctif du 5 juin 2026 a bien été appliqué sur toutes les instances hébergées.

Renforcer la sensibilisation des agents publics à la sécurité des comptes Tchap, suite à la compromission ayant permis l'intrusion d'un pirate sur la messagerie de l'État.

Signaux faibles

A surveiller

Le projet britannique de scan généralisé des appareils, dénoncé par Signal, pourrait inspirer d'autres gouvernements et fragiliser le chiffrement de bout en bout à l'échelle mondiale.

La publication par Anthropic de Claude Mythos 5 — un modèle jumeau de Claude Fable 5 dépourvu de garde-fous de sécurité, réservé aux professionnels de la cybersécurité — signale une tendance des éditeurs d'IA à créer des versions 'offensives' de leurs modèles pour la recherche en sécurité.

Traçabilite

Sources utilisees

The Hacker News · 6 article(s)

ouvrir

IT-Connect · 3 article(s)

ouvrir

ZATAZ · 1 article(s)

ouvrir

LinkedIn Twitter/X Se désabonner

Newsletter IT — Veille IT IA Quotidienne

Cet email vous a été envoyé car vous êtes abonné à Newsletter IT.

Gérer mes préférences • Se désabonner