Le fil conducteur du jour, c’est l’écart entre « un correctif existe » et « le correctif est réellement appliqué ». Deux failles Defender exploitées atteignent une échéance fédérale de correction, Android colmate un bug exploité dans la nature, une RCE de back-end GitHub reste non corrigée sur la plupart des instances auto-hébergées, et une fuite d’identités rappelle que des données exposées survivent à n’importe quel cycle de correctifs.
L’essentiel : respectez l’échéance CISA KEV pour les deux CVE Microsoft Defender, déployez la mise à jour Android de juin pour fermer le bug Framework activement exploité, corrigez GitHub Enterprise Server contre la CVE-2026-3854 si vous faites partie des 88 % qui ne l’ont pas fait, et traitez la fuite Grindr présumée comme un problème de rotation d’identifiants et de prise de contrôle de compte, pas seulement comme une affaire de vie privée.
La CISA a ajouté les CVE-2026-41091 et CVE-2026-45498 à son catalogue des vulnérabilités activement exploitées (KEV), avec une échéance de correction fixée au 3 juin 2026 pour les agences fédérales civiles. La CVE-2026-41091 (CVSS 7,8) peut permettre à un attaquant d’obtenir les privilèges SYSTEM, tandis que la CVE-2026-45498 (CVSS 4,0) est un déni de service affectant Defender. Une inscription au KEV est le signal le plus clair qui soit : l’exploitation est réelle, pas théorique.
La mise à jour Android de juin 2026 de Google corrige 124 vulnérabilités, dont une faille Framework de haute sévérité, la CVE-2025-48595 (CVSS 8,4), activement exploitée et permettant une élévation de privilèges sans interaction de l’utilisateur. L’élévation sans interaction est la plus dangereuse, car elle supprime le conseil « ne cliquez pas sur le lien » en tant que mesure de protection.
La CVE-2026-3854, divulguée par Wiz, était une faille critique d’exécution de code à distance dans l’infrastructure Git interne de GitHub : un utilisateur authentifié pouvait exécuter des commandes arbitraires sur les nœuds back-end avec un simple git push, et ces nœuds avaient accès à des millions de dépôts publics et privés. GitHub.com a été corrigé le jour même du signalement et aucune exploitation dans la nature n’a été constatée, mais au moment de la divulgation publique, environ 88 % des instances GitHub Enterprise Server n’étaient toujours pas corrigées.
Une fuite de données signalée le 3 juin 2026 exposerait des mots de passe et des données de localisation d’utilisateurs de Grindr. Même non confirmées, des identifiants exposés et un historique de localisation précis ont un impact élevé : les mots de passe sont réutilisés sur plusieurs services, et les données de localisation créent un risque réel de sécurité physique et d’extorsion pour une base d’utilisateurs sensible.
En résumé : le risque du jour n’est pas l’absence de correctifs — c’est la latence de correction et l’exposition irréversible. Les échéances KEV, les mises à jour mobiles et les back-ends auto-hébergés ne vous protègent qu’une fois appliqués, et les données d’identité ayant fuité ne se « dé-fuitent » jamais.
KENSAI aide les équipes à repérer les logiciels en périphérie non corrigés, l’infrastructure auto-hébergée exposée, les flux d’identité faibles et le risque lié aux identifiants réutilisés sur l’ensemble de leur surface d’attaque.
Lancer un scan gratuit →Restez vigilants.
🗡️ Équipe sécurité KENSAI