Salut, c'est LeBrief IA.

Microsoft a sorti mardi un correctif d'urgence pour ASP.NET Core. La faille a un score de 9.1 sur 10, ce qui est énorme. Si tu développes des sites web en .NET, tu veux lire ça.

Le problème en une phrase

Un attaquant peut se fabriquer un faux cookie d'authentification que ton serveur va accepter comme valide. En clair : il se connecte sur ton app, et il peut se faire passer pour n'importe qui, y compris un admin.

La faille s'appelle CVE-2026-40372. Elle touche toutes les apps qui utilisent .NET 10 depuis fin 2025. Donc environ 5 mois d'exposition.

Pourquoi c'est vicieux

Normalement, quand un attaquant tente de forger un cookie, le serveur vérifie une signature cryptographique et rejette tout ce qui est louche. Sauf que là, le mécanisme de vérification est cassé. L'attaquant peut littéralement coller des zéros à la fin de son faux cookie, et le serveur dit "ok, entre".

Une fois à l'intérieur avec des droits admin, il peut demander à ton app de lui générer des vrais tokens (reset de mot de passe, clés API, sessions). Ces tokens là, ils sont légitimes. Ils ont été signés par ton serveur.

Résultat : même après avoir patché, ces tokens restent valides. L'attaquant garde un accès.

Qui est concerné

Si tu développes du web en .NET 10, tu es probablement exposé. La faille affecte surtout les apps qui tournent sur Linux et macOS, ce qui couvre la grosse majorité des déploiements modernes (Docker, Kubernetes, cloud).

Les serveurs Windows classiques sont en général épargnés, parce qu'ils utilisent un autre mécanisme de protection par défaut. Mais pas toujours : si t'as une config custom, vérifie.

Ce que tu dois faire, dans l'ordre

  1. Mettre à jour le package en version 10.0.7 ou plus récente

  2. Révoquer toutes les clés cryptographiques de ton app (c'est une ligne de code, Microsoft fournit le script)

  3. Tes utilisateurs vont tous être déconnectés. Tant pis, ils se reconnecteront.

  4. Regarder tes logs des derniers mois pour voir si rien de bizarre ne s'est passé

Si tu sautes l'étape 2, tu crois que t'as patché mais t'as juste remis une porte neuve avec le double des clés déjà volé.

Le truc qui fait grincer des dents

Microsoft compare eux mêmes cette faille à un incident de 2010 qui avait mis en PLS l'écosystème .NET pendant des mois. Même type de bug, même composant critique, 16 ans plus tard. On a le droit de se demander si les leçons ont vraiment été tirées.

En résumé : update, révoque tes clés, déconnecte tes users, audite. Dans cet ordre. Sinon t'as rien corrigé du tout..

Keep Reading

© 2026 Le Brief IA.
Report abusePrivacy policyTerms of use
beehiivPowered by beehiiv