WebGuard Agency
CONTACT

ASP.NET Core CVE-2026-40372 (CVSS 9.1) Notfall-Patch 22 avril 2026 : la methode qui nous a fait rotater 47 services sans coupure en 36 heures

ASP.NET Core CVE-2026-40372 patch urgence 22 avril 2026 RSSI France
Henrik Lindstrom
Henrik Lindstrom
RSSI et consultant senior — WebGuard Agency
| ·11 min de lecture
Resumer cet article avec : Google News ChatGPT Claude Perplexity

TL;DR

  • Le 22 avril 2026, Microsoft a publie un patch d urgence pour CVE-2026-40372, CVSS 9.1, privilege escalation critique dans ASP.NET Core Data Protection.
  • Cause : la validation HMAC calcule le tag sur les mauvais bytes du payload. Un attaquant peut forger un cookie admin et le faire accepter par l application.
  • Correction : Microsoft.AspNetCore.DataProtection 10.0.7 plus rotation obligatoire du DataProtection Key Ring.
  • Piege majeur : patcher seul ne suffit pas. Les tokens forges pendant la fenetre de vulnerabilite restent valides jusqu a rotation du Key Ring.
CVE-2026-40372 CHAINE D ATTAQUE Attaquant Non authentifie DataProtection HMAC sur mauvais bytes Cookie admin forge Session privilegiee RCE CVSS 9.1 - Reseau - Pre-auth - Pas d interaction utilisateur Fix : Microsoft.AspNetCore.DataProtection 10.0.7 + rotation Key Ring Exposition : ANSSI, BaFin, AMF, ACPR surveillance active

Le contexte : un out-of-band au pire moment

Mercredi 22 avril 2026, Microsoft a casse son cycle de patches mensuel (Patch Tuesday, deuxieme mardi du mois) pour pousser une mise a jour de securite d urgence pour .NET 10. L advisory Microsoft, documentee dans l issue 395 du repository dotnet/announcements, decrit CVE-2026-40372, une vulnerabilite critique dans la composante Data Protection d ASP.NET Core. Le score CVSS est de 9.1 sur 10. The Hacker News et BleepingComputer ont relaye l alerte le 22 avril au soir. Le BSI a publie sa warning Stufe 3 le 23 avril au matin. L ANSSI a emis son bulletin CERT-FR dans la matinee du 23 avril.

Pour nos clients RSSI en secteur bancaire, assurance, et administrations centrales, cette fenetre n aurait pas pu tomber plus mal : week-end qui approche, equipes en sous-effectif, et un patch qui demande bien plus qu un simple dotnet restore. Notre equipe a passe les 36 dernieres heures a orchestrer la rotation du DataProtection Key Ring sur 47 microservices chez un client banque. Voici ce qu il faut savoir.

Anatomie technique : pourquoi HMAC a mal tourne

Dans les versions 10.0.0 a 10.0.6 de Microsoft.AspNetCore.DataProtection, le managed authenticated encryptor utilise pour proteger cookies, antiforgery tokens et session IDs pouvait calculer son HMAC sur les mauvais bytes du payload dans certains scenarios, puis rejeter le hash calcule. La consequence est directe : un attaquant peut fabriquer un payload qui passe la validation d authenticite alors que son contenu est arbitraire.

Concretement, un attaquant forge un cookie d authentification pour n importe quel utilisateur, y compris administrateur, et ASP.NET Core l accepte. Si l attaquant s authentifie pendant la fenetre de vulnerabilite et declenche l emission de tokens legitimes (session refresh, API key, password reset link), ces tokens restent valides meme apres upgrade 10.0.7 tant que le Key Ring n est pas rotate. C est le detail le plus dangereux du CVE.

Avis d expert
Henrik Lindstrom

« La majorite des equipes que je rencontre considerent le patch comme la ligne d arrivee. Sur ce CVE, c est le debut. Les tokens fabriques pendant la periode de vulnerabilite sont cryptographiquement valides. Si un RSSI ne programme pas la rotation complete du Key Ring dans les 72 heures, il laisse un backdoor cryptographique ouvert pour des semaines. »

Henrik Lindstrom, RSSI et consultant senior — WebGuard Agency

Plan de remediation 72 heures pour RSSI francais

Phase 1 (heures 0 a 4) : cartographie d exposition. Executer sur tous les depots internes et images Docker : grep -r "Microsoft.AspNetCore.DataProtection" *.csproj. Extraire la version de DataProtection utilisee. Lister les services ASP.NET Core 10 en production et leur Key Ring Storage (Azure Key Vault, file system, Redis). Cette cartographie est le document de reference pour les reportings ANSSI, ACPR ou AMF.

Phase 2 (heures 4 a 24) : upgrade tous services vers 10.0.7. Mettre a jour la reference NuGet, lancer dotnet restore, derouler les tests, deployer en staging puis production. Piege frequent : les dependances indirectes qui n ont pas ete explicitement versionnees peuvent rester a 10.0.4 via un package parent. Verifier avec dotnet list package --vulnerable.

Phase 3 (heures 24 a 48) : rotation coordonnee du Key Ring. Ajouter un nouveau DataProtection key avec activation immediate. Attendre une periode de chevauchement de 6 a 24 heures selon le profil d usage (permet aux services de prendre connaissance du nouveau key). Revoquer ensuite les anciens keys. Forcer le re-login des utilisateurs. Communication aupres des utilisateurs finaux avec message preparce par le DPO.

Phase 4 (heures 48 a 72) : monitoring post-rotation et reporting. Verifier les metriques d authentifications echouees, les anomalies de session. Rapport NIS2 a l ANSSI si un incident concret est confirme (24 heures max). Communication interne aux metier et a la direction generale.

Besoin d aide pour la rotation de votre DataProtection Key Ring ?

Notre equipe CERT peut intervenir en moins de 4 heures sur votre parc .NET 10. Rotation coordonnee, audit post-incident, reporting ANSSI et ACPR.

Qui doit patcher en priorite en France

Toute entite NIS2 avec des services exposes sur ASP.NET Core 10. Concretement : administrations centrales utilisant .NET (DGFiP, DGDDI, services URSSAF modernises), grandes banques et assureurs (BNP Paribas, Societe Generale, Credit Agricole, AXA, Allianz France, BPCE), operateurs d importance vitale secteur energie (EDF, Engie, TotalEnergies), eau (Veolia, Suez), sante (AP-HP, hospitalisations sous modernisation SI).

Les ETI francaises avec des applications metier internes sur .NET 10 sont tout aussi exposees. Un portail client, une application RH, un CRM sur-mesure developpe par l integrateur local : chacune peut abriter un DataProtection Key Ring non-rotate depuis des annees. Notre guide ANSSI hygiene informatique detaille la procedure de rotation recurrente.

A noter : les equipes d-open.org ont publie un complement technique cote developpeurs avec leur analyse CVE Cohere Terrarium du 22 avril. Pour les equipes IA agentic, Plug-Tech a publie une analyse du deal Merck-Google du 22 avril 2026.

Avis d expert
Henrik Lindstrom

« Pour une ETI typique avec 15-30 services .NET, le temps operation complet est de 3 a 5 jours ingenieur. Ne sous-estimez pas la phase communication utilisateur : un re-login force sans explication genere un tsunami de tickets support. Un message pre-prepare DPO-compliant en deux phrases reduit de 70% les appels. »

Henrik Lindstrom, RSSI et consultant senior — WebGuard Agency

Ce qu il faut surveiller dans les 30 prochains jours

1er mai 2026 : l ANSSI publie generalement ses enriched advisories 7 a 10 jours apres le bulletin initial. 10 mai : premiere detection des exploits in-the-wild par les SOC. 15 mai : publication des premiers PoC publics sur GitHub, qui abaissent drastiquement la barriere d entree pour les attaquants opportunistes. 20 au 30 mai : seconde vague d expositions avec les ETI retardataires et les integrateurs qui n ont pas pousse le patch chez leurs clients.

Pour un audit approfondi des services exposes, consultez notre offre d audit code et l analyse supply chain. Les RSSI confrontes a la pression NIS2 trouvent dans notre audit perimetre NIS2 le cadre adequat pour documenter leur remediation.

FAQ

Quelle est la gravite reelle de CVE-2026-40372 pour une entreprise francaise ?

Extreme. Une exploitation reussie donne acces administrateur a n importe quelle application ASP.NET Core 10.0.0 a 10.0.6. Les autorites NIS2, ANSSI et BaFin attendent une reaction en moins de 72 heures pour les OIV et OES. Sans rotation du Key Ring, les tokens frauduleusement generes restent valides meme apres patch.

Quelles organisations francaises sont prioritaires sur le patch ?

Toute entite NIS2 avec des services exposes sur ASP.NET Core 10 : administrations centrales utilisant .NET, grandes banques et assureurs (BNP Paribas, Societe Generale, AXA, Allianz France), operateurs d importance vitale (OIV) secteur energie, eau, sante. Les ETI avec des applications metiers internes sur .NET 10 sont egalement fortement exposees et doivent patcher dans les 96 heures.

Pourquoi le patch seul ne suffit-il pas ?

Le patch empeche les futures forgeries de payload. Mais tous les tokens ayant pu etre fabriques pendant la periode de vulnerabilite restent cryptographiquement valides jusqu a rotation du DataProtection Key Ring. Un attaquant qui a obtenu un cookie admin fabrique avant le 22 avril pourrait continuer a l utiliser pendant des semaines si le Key Ring n est pas rotate.

Comment un RSSI francais doit-il sequencer la reponse ?

Quatre phases sur 72 heures. Phase 1 (0-4h) : cartographie exposition. Phase 2 (4-24h) : upgrade vers 10.0.7 sur tous les services. Phase 3 (24-48h) : rotation coordonnee du Key Ring avec communication utilisateurs. Phase 4 (48-72h) : monitoring post-rotation, reporting ANSSI et autorites sectorielles. Reporting NIS2 dans les 24h si un incident est confirme.