KB5094126 : la mise à jour qui fait parler d’elle

Le 9 juin 2026, Microsoft a publié sa mise à jour mensuelle obligatoire, la KB5094126, dans le cadre du cycle Patch Tuesday. Sur le papier, c’est une livraison historique : près de 200 vulnérabilités corrigées, dont 33 classées critiques et 5 zero-day exploitées activement. Parmi elles, les failles baptisées GreenPlasma et YellowKey — cette dernière permettant un contournement de BitLocker, ce qui est particulièrement grave.

La mise à jour concerne les versions Windows 11 24H2 et Windows 11 25H2, portées respectivement aux builds 26100.8655 et 26200.8655. Les machines sous 23H2 reçoivent pour leur part la KB5093998.

À ces correctifs s’ajoutent de vraies nouveautés fonctionnelles — notamment le Low Latency Profile très attendu par les joueurs, des améliorations de Windows Hello, du support Bluetooth LE Audio partagé, et une nouvelle option permettant de choisir le nom du dossier utilisateur dès l’installation initiale. Bref, KB5094126 n’est pas une simple rustine de sécurité.

Mais voilà : le déploiement ne se passe pas sans accroc. Depuis le 9 juin, les forums Microsoft, Reddit et les services IT reçoivent un volume inhabituel de signalements. Des PC qui ne redémarrent plus. Des boucles de récupération BitLocker. Des intégrations OneDrive coupées en plein travail. Décortiquons chaque problème.

Les bugs confirmés : BSOD, BitLocker, OneDrive et plus

Le bug OneDrive en détail

C’est probablement le problème qui touche le plus d’utilisateurs en entreprise. Après installation de KB5094126, les raccourcis OneDrive et SharePoint affichés dans le panneau latéral de l’Explorateur de fichiers deviennent inactifs. Impossible de naviguer dans ces emplacements depuis Windows.

Ce qui est frustrant : les versions web de OneDrive et SharePoint continuent de fonctionner parfaitement depuis un navigateur. La synchronisation en arrière-plan continue aussi — seule l’intégration à l’Explorateur est cassée. Le problème semble plus fréquent sur les comptes professionnels, mais des comptes personnels sont également signalés.

Réinitialisation de l’agent OneDrive, redémarrage, vidage de cache : rien ne fonctionne. Microsoft n’a encore fait aucune communication officielle sur ce bug spécifique au moment de la publication de cet article.

Les applications métier intégrant Word

Un autre angle mort de cette mise à jour concerne les logiciels professionnels qui utilisent l’automatisation COM de Microsoft Word pour générer des rapports ou des documents. Après KB5094126, ces fonctions échouent silencieusement. Word lui-même ouvre normalement ses fichiers — c’est uniquement l’automatisation depuis des applications tierces qui est rompue.

Secteurs touchés confirmés : médical (Dentrix, Eaglesoft, SmartDoc), comptabilité (CCH ProSystem fx Engagement, CCH Workpaper Manager). D’autres logiciels sont probablement affectés sans avoir encore été identifiés publiquement.

Secure Boot : le grand chamboulement sous le capot

Pour comprendre pourquoi autant de machines ne démarrent plus, il faut remonter à une décision de Microsoft prise il y a plusieurs années : la transition vers de nouveaux certificats Secure Boot.

Les certificats Secure Boot actuellement utilisés par la grande majorité des PC Windows datent de 2011. Ils arrivent en fin de vie, et Microsoft déploie progressivement les nouveaux certificats émis par l’autorité UEFI CA 2023. KB5094126 accélère ce déploiement : Windows Update utilise désormais davantage de données de ciblage pour identifier les PC éligibles à la réception des nouveaux certificats.

Le problème ? Certains PC — notamment chez HP — ont des BIOS qui ne reconnaissent pas encore ces nouveaux certificats. Résultat : Secure Boot rejette le chargeur de démarrage Windows et la machine entre en boucle ou affiche un écran bleu.

La modification du comportement de desktop.ini

Moins dramatique mais source de beaucoup de confusion, KB5094126 modifie la façon dont Windows traite les fichiers desktop.ini. Ces fichiers cachés permettent de personnaliser l’apparence des dossiers : icône différente, nom affiché traduit, etc.

Depuis le 9 juin, Windows bloque les icônes personnalisées provenant de sources non approuvées (dossiers réseau, partages UNC, stockages cloud non natifs). Microsoft présente cela non pas comme un bug, mais comme un renforcement délibéré des politiques de sécurité. Les icônes personnalisées internes à des emplacements de confiance ne sont pas affectées.

Solutions par type de problème

Mon PC ne démarre plus / BSOD au démarrage

1. Démarrez en mode de récupération. Maintenez Shift pendant le redémarrage, ou laissez le PC échouer à démarrer deux fois de suite pour que Windows propose automatiquement les options de récupération.
2. Vérifiez votre BIOS. Si vous avez un PC HP ou un autre constructeur ayant publié une alerte, mettez le BIOS à jour en priorité depuis un autre appareil en téléchargeant le fichier sur clé USB.
3. Désinstallez KB5094126. Depuis la récupération : Dépannage → Options avancées → Désinstaller les mises à jour → Désinstaller la dernière mise à jour de qualité. Alternativement, depuis Windows : Paramètres → Windows Update → Historique des mises à jour → Désinstaller les mises à jour.
4. Si la désinstallation ne suffit pas, envisagez un point de restauration système antérieur au 9 juin.

Boucle de récupération BitLocker

Ce problème est directement lié au changement de certificat Secure Boot. La solution immédiate est de saisir votre clé de récupération BitLocker pour démarrer une fois, puis de désinstaller KB5094126 pour rompre la boucle.

Après avoir récupéré l’accès, désinstallez KB5094126, puis attendez le correctif que Microsoft devrait publier dans les prochaines semaines pour corriger la compatibilité Secure Boot.

OneDrive / SharePoint cassé dans l’Explorateur

Malheureusement, il n’existe pas encore de correctif ni de contournement fiable pour ce bug. Les options en attendant la réponse de Microsoft :

• Accès web : utilisez onedrive.com et sharepoint.com directement depuis votre navigateur.
• Application OneDrive mobile : pour les accès urgents depuis un téléphone ou tablette.
• Désinstaller KB5094126 si la perturbation est intolérable pour votre productivité.
• Surveiller les mises à jour via le tableau de santé des versions Windows 11.

Applications métier avec Word automatisé

Pour les utilisateurs de Dentrix, CCH ProSystem fx et équivalents, la seule solution validée à ce jour est la désinstallation de KB5094126, suivie d’un redémarrage. Reportez ensuite la mise à jour jusqu’à ce qu’un correctif soit disponible.

Cette commande PowerShell / CMD (exécutée en tant qu’administrateur) désinstalle le patch silencieusement. Un redémarrage manuel reste nécessaire ensuite.

Icônes de dossiers réinitialisées

Comme il s’agit d’un changement de sécurité délibéré, il n’y a pas de « correctif » à proprement parler. Les options :

• Déplacer les ressources d’icônes vers des emplacements de confiance locaux (C:\Users\…).
• Via Group Policy (GPO) en entreprise : ajuster les paramètres de confiance des dossiers réseau.
• Accepter que les icônes personnalisées sur les partages réseau distants ne s’affichent plus.

Ce que les entreprises doivent faire maintenant

Pour les DSI et administrateurs systèmes, KB5094126 place dans la situation classique et inconfortable du dilemme sécurité/stabilité. Ne pas installer signifie exposer les postes à 5 zero-day actifs et 33 vulnérabilités critiques. Installer expose à des risques de disponibilité réels.

Reporter les mises à jour via les paramètres Windows

Pour les postes non gérés par WSUS ou Intune, il est possible de reporter les mises à jour de qualité jusqu’à 35 jours depuis Paramètres → Windows Update → Options avancées → Reporter les mises à jour de qualité. Cela ne supprime pas les mises à jour de sécurité mais donne un délai pour observer les retours terrain.

Pour les environnements Intune, la politique Update rings permet de cibler des groupes pilotes avant un déploiement large — une pratique que cet incident illustre parfaitement.

FAQ : les questions les plus fréquentes

Faut-il installer la mise à jour KB5094126 ?

KB5094126 corrige des failles réelles et activement exploitées. C’est un fait indiscutable. Mais Microsoft a également déclenché une transition Secure Boot d’envergure sans s’assurer que l’ensemble des constructeurs avait mis à jour leurs certificats BIOS en amont. Ce décalage est à l’origine de la majorité des incidents de démarrage observés.

La réalité des environnements IT est toujours nuancée : une machine exposée à Internet sans ce patch est dangereuse. Une machine de production qui ne redémarre plus l’est tout autant, à sa façon. Le bon équilibre dépend de votre contexte — volume de machines, usage de OneDrive, matériel HP, dépendance à des logiciels métier.

Check-list avant d’installer (ou de bloquer) KB5094126

• Vérifiez si votre constructeur a publié une alerte Secure Boot (HP en priorité)
• Mettez à jour le BIOS de vos machines HP avant le déploiement du patch
• Récupérez et archivez vos clés de récupération BitLocker via account.microsoft.com
• Testez sur un sous-ensemble de machines représentatif si vous gérez un parc
• Vérifiez si vos logiciels métier sont listés parmi ceux affectés par le bug Word automation
• Prévoyez une procédure de rollback avant tout déploiement massif
• Surveillez le tableau de santé Windows 11 sur Microsoft Learn pour les updates officielles

La gestion des mises à jour Windows est rarement binaire. KB5094126 n’est ni à ignorer ni à déployer les yeux fermés. Avec les bonnes précautions, l’immense majorité des machines peut l’accueillir sans encombre — et bénéficier de corrections de sécurité qui, elles, ne souffrent d’aucune ambiguïté.