Sécurité 12 min de lecture

Patch Tuesday février 2026 : 6 zero-days Microsoft et failles critiques à corriger d'urgence

6 zero-days Microsoft activement exploités, failles Apple, Cisco et Ivanti : le point sur les correctifs critiques de février 2026 à appliquer immédiatement.

Le Patch Tuesday de février 2026 est l'un des plus critiques de ces derniers mois. Microsoft a corrigé 58 vulnérabilités, dont 6 Apple zero-days activement exploités dans la nature. En parallèle, Apple, Cisco et Ivanti ont également publié des correctifs urgents pour des failles critiques. Cet article fait le point sur les vulnérabilités à corriger en priorité et fournit des commandes pratiques pour vérifier et appliquer les patches sur vos systèmes.

Action requise immédiatement : les 6 zero-days Microsoft sont activement exploités. Si vous administrez des postes Windows, des serveurs Exchange ou des instances Office 365, appliquez les correctifs sans attendre. Les failles Cisco et Ivanti font l'objet de campagnes d'exploitation massives et ont été ajoutées au catalogue CISA KEV.

Microsoft Patch Tuesday février 2026 : vue d'ensemble

Le Patch Tuesday de ce mois corrige 58 vulnérabilités au total, réparties comme suit :

  • 6 zero-days activement exploités (correction prioritaire absolue)
  • Plusieurs failles d'exécution de code à distance (RCE)
  • Des contournements de fonctionnalités de sécurité
  • Des élévations de privilèges

Concentrons-nous sur les vulnérabilités les plus critiques qui nécessitent une action immédiate.

Les zero-days Microsoft à corriger en priorité

faille n8n-2026-21509 : zero-day Microsoft Office (CVSS 7.8)

Cette vulnérabilité affecte Microsoft Office et permet l'exécution de code arbitraire lorsqu'un utilisateur ouvre un document spécialement conçu. Avec un score CVSS de 7.8, elle est classée comme sévère. L'exploitation est confirmée dans la nature, ce qui signifie que des attaquants l'utilisent déjà activement dans des campagnes de phishing ciblé.

Le vecteur d'attaque est classique mais redoutablement efficace : un document Office piégé envoyé par email ou partagé via un lien. L'ouverture du fichier suffit à déclencher l'exécution du code malveillant, sans interaction supplémentaire de l'utilisateur au-delà du clic initial.

CVE-2026-21514 : contournement de sécurité dans Word

Cette faille permet de contourner les fonctionnalités de sécurité intégrées à Microsoft Word. Concrètement, elle neutralise les protections censées empêcher l'exécution de contenu actif (macros, scripts) dans les documents provenant de sources non fiables.

Cette vulnérabilité est particulièrement dangereuse car elle désactive les garde-fous sur lesquels les équipes de sécurité comptent pour protéger les utilisateurs. Combinée avec un document malveillant exploitant CVE-2026-21509, elle forme un vecteur d'attaque dévastateur.

Vérifier et appliquer les correctifs Windows

# Vérifier les mises à jour disponibles via PowerShell
Get-WindowsUpdate -MicrosoftUpdate

# Installer toutes les mises à jour de sécurité
Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot

# Vérifier la version du patch installé
Get-HotFix | Sort-Object -Property InstalledOn -Descending | Select-Object -First 10

# Forcer la vérification des mises à jour via ligne de commande
wuauclt /detectnow /updatenow

Pour les environnements gérés via WSUS ou SCCM, assurez-vous que les correctifs de février 2026 sont approuvés et déployés sur l'ensemble du parc :

# Vérifier le statut WSUS (sur le serveur WSUS)
Get-WsusUpdate -Approval Unapproved -Status FailedOrNeeded |
  Where-Object {$_.Update.Title -match "2026-02"} |
  Approve-WsusUpdate -Action Install -TargetGroupName "Production"

# Rapport de conformité
Get-WsusComputer | ForEach-Object {
    Get-WsusUpdatePerComputer -UpdateScope (New-Object Microsoft.UpdateServices.Administration.UpdateScope) |
    Where-Object {$_.UpdateInstallationState -eq "NotInstalled"}
}

Faille Apple CVE-2026-20700 : zero-day dyld sur iOS et macOS

Apple a publié en urgence un correctif pour CVE-2026-20700, une vulnérabilité zero-day dans dyld, le chargeur dynamique de bibliothèques d'iOS et macOS. Cette faille permet l'exécution de code arbitraire sur les appareils Apple.

Le composant dyld est fondamental dans l'architecture Apple : il est responsable du chargement de toutes les bibliothèques dynamiques au démarrage des applications. Une vulnérabilité à ce niveau offre à l'attaquant un contrôle profond sur le système, potentiellement avant même que les mécanismes de sécurité applicatifs ne soient initialisés.

Vérifier et appliquer les correctifs Apple

# Vérifier la version actuelle de macOS
sw_vers

# Vérifier les mises à jour disponibles
softwareupdate --list

# Installer toutes les mises à jour disponibles
sudo softwareupdate --install --all --restart

# Pour les Mac gérés via MDM, vérifier la conformité
sudo profiles status -type enrollment
Important : cette vulnérabilité affecte aussi bien iOS que macOS. Assurez-vous de mettre à jour tous les appareils Apple de votre parc, y compris les iPhones et iPads professionnels gérés via MDM.

Cisco CVE-2026-20045 : RCE sur Unified Communications

Cisco a corrigé CVE-2026-20045, une vulnérabilité critique d'exécution de code à distance affectant Cisco Unified Communications. Cette faille a été ajoutée au catalogue CISA KEV (Known Exploited Vulnerabilities), avec une date limite de correction fixée au 11 février pour les agences fédérales américaines.

L'ajout au catalogue CISA KEV signifie que l'exploitation est confirmée et active. Les produits Cisco Unified Communications sont déployés dans des milliers d'entreprises pour la téléphonie IP et les communications unifiées. Une compromission permet à l'attaquant d'exécuter du code avec les privilèges du service, ouvrant la porte à une prise de contrôle complète de l'infrastructure de communication.

Vérifier votre version Cisco UCM

# Vérifier la version de Cisco Unified Communications Manager
# Via l'interface CLI du serveur UCM
show version active

# Vérifier les correctifs installés
utils system upgrade list

# Sauvegarder la configuration avant mise à jour
utils disaster_recovery backup network

# Appliquer le correctif
utils system upgrade initiate
Deadline CISA KEV : la date limite de correction pour CVE-2026-20045 était fixée au 11 février 2026. Si vous n'avez pas encore appliqué le correctif, faites-le immédiatement. Le catalogue CISA KEV est la référence pour prioriser vos patches : toute CVE qui y figure est activement exploitée.

Ivanti Endpoint Manager Mobile : exploitation massive en cours

Deux vulnérabilités critiques affectent Ivanti Endpoint Manager Mobile (anciennement MobileIron) :

  • CVE-2026-1281 : vulnérabilité permettant un accès non autorisé
  • CVE-2026-1340 : faille complémentaire aggravant l'exploitation

Les données de télémétrie montrent 417 sessions d'exploitation provenant de 8 adresses IP distinctes entre le 1er et le 9 février 2026. Cette exploitation active et concentrée indique une campagne coordonnée, probablement menée par un groupe organisé ciblant les solutions de gestion de flotte mobile en entreprise.

Ivanti EPMM est utilisé pour gérer les appareils mobiles professionnels (MDM). Sa compromission donne à l'attaquant un accès potentiel à l'ensemble de la flotte mobile d'une organisation, y compris la possibilité de déployer des configurations malveillantes, d'accéder aux emails professionnels et d'exfiltrer des données sensibles.

Actions de remédiation pour Ivanti EPMM

# Vérifier la version Ivanti EPMM installée
# Depuis la console d'administration ou en SSH
cat /opt/ivanti/version.txt

# Vérifier les connexions suspectes sur le serveur EPMM
# Rechercher les 8 IPs identifiées dans la campagne d'exploitation
sudo netstat -tnp | grep -E ":(443|8443)" | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn

# Analyser les logs d'accès pour détecter des tentatives d'exploitation
sudo grep -E "CVE-2026-1281|CVE-2026-1340" /var/log/ivanti/*.log
sudo grep -i "exploit\|unauthorized\|injection" /var/log/ivanti/access.log | tail -50

# Bloquer les IPs suspectes en urgence via iptables
# Remplacez par les IPs identifiées dans vos logs
sudo iptables -A INPUT -s IP_SUSPECTE -j DROP

n8n CVE-2026-25049 : exécution de commandes système

n8n, la plateforme populaire d'automatisation de workflows, est affectée par CVE-2026-25049. Cette vulnérabilité permet l'exécution de commandes système via des workflows malveillants. Si vous utilisez n8n en production, la mise à jour est impérative.

Le risque est particulièrement élevé pour les instances n8n exposées à Internet ou accessibles à des utilisateurs non fiables. Un workflow conçu par un attaquant peut exécuter des commandes arbitraires sur le serveur hébergeant n8n, menant à une compromission complète.

# Vérifier la version de n8n installée
n8n --version

# Mettre à jour n8n via npm
sudo npm update -g n8n

# Si n8n tourne dans Docker, mettre à jour le conteneur
docker pull n8nio/n8n:latest
docker stop n8n && docker rm n8n
docker run -d --name n8n -p 5678:5678 \
  -v ~/.n8n:/home/node/.n8n \
  n8nio/n8n:latest

# Vérifier que l'instance n'est pas exposée publiquement
ss -tlnp | grep 5678
Bonne pratique : n8n ne devrait jamais être directement exposé à Internet. Placez-le derrière un reverse proxy avec authentification et limitez l'accès via UFW aux seules IPs autorisées.

Comment prioriser vos patches : la méthode CISA KEV

Face à la multiplicité des vulnérabilités à corriger, la priorisation est essentielle. Le catalogue CISA KEV (Known Exploited Vulnerabilities) est devenu la référence pour déterminer quelles failles corriger en premier.

Le principe est simple : si une CVE figure dans le catalogue KEV, cela signifie que son exploitation est confirmée dans la nature. Ces vulnérabilités passent avant toutes les autres, quel que soit leur score CVSS théorique.

Ordre de priorité recommandé pour février 2026

  1. Priorité 1 (immédiat) : CVE-2026-20045 (Cisco UCM, dans CISA KEV), les 6 zero-days Microsoft, CVE-2026-20700 (Apple dyld)
  2. Priorité 2 (sous 48h) : CVE-2026-1281 et CVE-2026-1340 (Ivanti EPMM, exploitation massive en cours)
  3. Priorité 3 (sous 7 jours) : CVE-2026-25049 (n8n), les 52 autres correctifs Microsoft
# Télécharger le catalogue CISA KEV au format JSON pour audit
curl -sL https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json \
  -o /tmp/cisa-kev.json

# Extraire les CVE ajoutées en février 2026
python3 -c "
import json
data = json.load(open(\"/tmp/cisa-kev.json\"))
for v in data[\"vulnerabilities\"]:
    if v[\"dateAdded\"].startswith(\"2026-02\"):
        cve = v[\"cveID\"]; vendor = v[\"vendorProject\"]
        product = v[\"product\"]; due = v[\"dueDate\"]
        print(cve, \"|\", vendor, \"|\", product, \"| Deadline:\", due)
"

# Scanner votre réseau pour identifier les systèmes vulnérables (avec Nmap)
sudo nmap -sV --script vulners -oN /tmp/scan-vulns.txt 192.168.1.0/24

Automatiser la gestion des correctifs

L'application manuelle des patches ne passe pas à l'échelle. Voici comment automatiser le processus sur vos serveurs Linux, qui hébergent souvent les services critiques comme n8n, Ivanti ou les proxys inverses devant vos applications.

Mise à jour automatique sur Debian/Ubuntu

# Installer et configurer unattended-upgrades
sudo apt install -y unattended-upgrades apt-listchanges

# Activer les mises à jour de sécurité automatiques
sudo dpkg-reconfigure -plow unattended-upgrades

# Vérifier la configuration
cat /etc/apt/apt.conf.d/50unattended-upgrades | grep -E "Allowed-Origins|Automatic-Reboot"

# Forcer une vérification immédiate
sudo unattended-upgrade --dry-run --debug

Mise à jour automatique sur RHEL/CentOS/Rocky

# Installer dnf-automatic
sudo dnf install -y dnf-automatic

# Configurer pour appliquer automatiquement les correctifs de sécurité
sudo sed -i 's/apply_updates = no/apply_updates = yes/' /etc/dnf/automatic.conf
sudo sed -i 's/upgrade_type = default/upgrade_type = security/' /etc/dnf/automatic.conf

# Activer le timer
sudo systemctl enable --now dnf-automatic.timer

# Vérifier le statut
sudo systemctl status dnf-automatic.timer

Monitoring de conformité

# Script de vérification rapide de la conformité patch
#!/bin/bash
echo "=== Vérification des correctifs - $(date) ==="
echo ""
echo "--- Dernière mise à jour ---"
stat /var/log/apt/history.log 2>/dev/null | grep Modify || \
  rpm -qa --last | head -1

echo ""
echo "--- Mises à jour de sécurité en attente ---"
apt list --upgradable 2>/dev/null | grep -i security || \
  dnf updateinfo list security 2>/dev/null

echo ""
echo "--- Redémarrage nécessaire ? ---"
[ -f /var/run/reboot-required ] && echo "OUI - Redémarrage requis" || echo "Non"

Renforcer la posture de sécurité globale

Les patches corrigent les vulnérabilités connues, mais une posture de sécurité robuste nécessite des défenses en profondeur. Profitez de ce cycle de mise à jour pour vérifier également :

  • Vos certificats TLS : sont-ils à jour et correctement configurés ? Notre guide sur Certbot et Let's Encrypt vous accompagne dans l'automatisation du renouvellement.
  • Votre pare-feu : les règles UFW sont-elles à jour ? Seuls les ports strictement nécessaires doivent être ouverts.
  • Votre protection anti-brute-force : Fail2ban est un premier rempart essentiel, mais comme nous l'expliquons dans notre article Fail2ban ne suffit pas, il doit être complété par d'autres mesures.
  • Votre checklist serveur : consultez notre checklist de sécurité serveur Linux pour vous assurer de n'oublier aucun point critique.
Le catalogue CISA KEV comme outil de priorisation : ajoutez la consultation régulière du catalogue CISA KEV à votre routine de veille sécurité. C'est la source la plus fiable pour identifier les vulnérabilités qui sont réellement exploitées, par opposition aux milliers de CVE publiées chaque mois dont seule une fraction est activement ciblée.

Conclusion

Le Patch Tuesday de février 2026 est un rappel brutal de la course permanente entre attaquants et défenseurs. Avec 6 zero-days Microsoft activement exploités, une faille critique Apple dans un composant aussi fondamental que dyld, une RCE Cisco dans le catalogue CISA KEV et une campagne d'exploitation massive contre Ivanti EPMM, les administrateurs système n'ont pas de temps à perdre.

La priorisation est claire : commencez par les CVE du catalogue CISA KEV et les zero-days confirmés, puis élargissez aux autres correctifs dans la semaine. Automatisez ce qui peut l'être avec unattended-upgrades ou dnf-automatic. Et surtout, ne vous contentez pas de patcher : renforcez vos défenses en profondeur avec un pare-feu correctement configuré, une surveillance active et des principes de moindre privilège appliqués systématiquement.

La prochaine vague de vulnérabilités arrivera le mois prochain. Soyez prêts.

Cet article vous a plu ?

Commentaires

Morgann Riu
Morgann Riu

Expert en cybersécurité et administration Linux. J'aide les entreprises à sécuriser et optimiser leurs infrastructures critiques.

Me contacter
sécurité Patch Tuesday zero-day Microsoft CVE vulnérabilités
Sécurité

Apple zero-day CVE-2026-20700 : faille critique dans dyld corrigée en urgence
Sécurité

AgreeToSteal : un add-in Outlook malveillant vole 4 000 credentials
Sécurité

Sécurité des agents IA : les risques que tout admin doit connaître
Sécurité

n8n : faille critique CVE-2026-25049 permet l'exécution de code à distance
Retour au blog

Checklist Sécurité Linux

30 points essentiels pour sécuriser un serveur Linux. Recevez aussi les nouveaux tutoriels par email.

Pas de spam. Désabonnement en 1 clic.