11 points par recast7838 2026-05-30 | 7 commentaires | Partager sur WhatsApp

Microsoft s’oppose vivement à un chercheur en sécurité qui a divulgué publiquement sans autorisation une vulnérabilité zero-day non corrigée, et le conflit s’intensifie après la suspension de son compte GitHub, le chercheur annonçant de nouvelles révélations.


Traduction complète

Microsoft a déclaré soutenir fermement le processus de divulgation coordonnée des vulnérabilités (CVD) et a appelé la communauté de la recherche en sécurité à partager ses découvertes et à laisser aux fournisseurs concernés la possibilité de comprendre clairement le problème et d’y remédier avant que les vulnérabilités ne soient rendues publiques.

Cette affaire a commencé lorsque le chercheur connu sous le nom de « Chaotic Eclipse » (alias Nightmare-Eclipse) a publié au cours du dernier mois les détails de plusieurs vulnérabilités zero-day affectant divers composants de Windows, dont Defender et BitLocker, en invoquant les défaillances du processus de gestion des vulnérabilités chez Microsoft.

Microsoft a indiqué que « plusieurs vulnérabilités zero-day ont été rendues publiques ces dernières semaines » et que « les détails de ces vulnérabilités n’ont pas été partagés avec Microsoft avant leur publication, exposant ainsi inutilement nos clients à des risques ». L’entreprise a ajouté que « pour répondre aux risques créés par cette divulgation non autorisée, nos équipes de sécurité travaillent 24 heures sur 24 afin d’évaluer l’impact, de protéger les clients et de développer des mises à jour de sécurité ».

Les vulnérabilités publiées sont au nombre de six : BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlazma et MiniPlazma. Parmi elles, trois — dont BlueHammer, RedSun et Undefend — sont {p:50} déjà activement exploitées dans des attaques malveillantes en conditions réelles.

Microsoft a affirmé s’opposer « fermement » à ce type de divulgation non coordonnée, avertissant que si du code de preuve de concept (PoC) pour des vulnérabilités non corrigées tombait entre les mains d’acteurs malveillants, cela pourrait entraîner « de graves conséquences dans le monde réel ». L’entreprise a également souligné qu’« elle accueille des points de vue variés afin que la communauté de la sécurité puisse collaborer pour protéger tout le monde. Nous ne serons pas toujours d’accord sur tout, mais nous nous engageons à rester transparents et à continuer de créer des occasions de dialogue ». Elle a ajouté que « ces discussions ont lieu lors d’événements de remerciement destinés aux chercheurs, dans les conférences de sécurité, et dans le travail quotidien mené ensemble pour comprendre et corriger les vulnérabilités ».

À la suite de cette divulgation non autorisée, GitHub aurait fermé le compte du chercheur la semaine dernière. Le code d’exploitation des six vulnérabilités a ensuite été remis en ligne sur GitLab, mais le nouveau compte GitLab créé a lui aussi été suspendu.

Dans un message publié ce week-end, le chercheur a affirmé : « Pour résumer, quand j’ai essayé de communiquer activement, on m’a rejeté, insulté et humilié publiquement devant tout le monde. » Il a poursuivi : « Vous avez complètement supprimé le compte Microsoft que j’utilisais pour signaler des bugs, puis vous avez porté atteinte à ma réputation publiquement via l’avis de sécurité CVE-2026-45585. J’ai travaillé avec joie comme un idiot sans recevoir le moindre centime, et maintenant vous vous offrez même le luxe de signaler mon compte GitHub pour m’effacer publiquement sans laisser de trace ? Vous prouvez à tout le monde que vous escaladez activement ce conflit. Mais j’en ai fini de mendier. »

Le chercheur a également annoncé qu’il prévoyait de publier quelque chose le 14 juillet 2026, en déclarant : « Ce jour-là, je ferai voler en éclats les os de Microsoft. »

La phrase de l’auteur

On dirait que Microsoft n’est plus vraiment une entreprise accueillante.

7 commentaires

 
aobamisaki 2026-05-31

Même si Microsoft a beaucoup de raisons d’être critiqué ces derniers temps, je me dis aussi que la manière d’agir de ce chercheur est excessivement radicale et irresponsable.

S’agissant en particulier de la sécurité de l’information, même lorsqu’une vulnérabilité donnée est extrêmement urgente et grave, cela reste un sujet sensible qui, s’il est mal géré, peut être immédiatement exploité dans des attaques zero-day ; à ce titre, il faut respecter strictement les principes et les règles établis en la matière, et j’estime qu’il est difficile de le défendre ou de le soutenir dès lors qu’il a gravement mis à mal ces principes et ces règles.

 
wowfoot 2026-05-31

Ils ont signalé la faille et pourtant ils ne la corrigent pas… Microsoft, impressionnant. On en vient même à se demander s’ils la protègent pour pouvoir l’exploiter dans des attaques. Ça me donne encore plus envie de passer à Linux. S’ils ne sont pas capables de la corriger, le bon réflexe serait de demander de l’aide. Et s’ils ne veulent pas payer, il faut assumer les critiques… Essayer de se faire passer pour la partie faible, franchement.

 
arton1234 2026-05-31

Je suis un ancien amateur. Je fabrique simplement, au besoin, ce qu’il me faut pour l’utiliser.

  1. À la base, Microsoft soutenait énormément les développeurs avec l’environnement de développement, documentation comprise. Mais ce n’était pas vraiment une entreprise favorable à l’open source.

  2. Après l’arrivée de Satya Nadella au poste de CEO, l’entreprise a montré une attitude plus favorable à l’open source, ce qui m’a rendu plus sympathique à son égard. L’un des exemples, c’est WSL.

  3. Je suis d’accord pour dire que Microsoft est actuellement à la traîne sur le front de l’IA. Que ce soit GitHub Copilot ou le Copilot intégré à l’OS.

  4. Quelle qu’en soit la raison, révéler une vulnérabilité zero-day alors qu’aucune mesure n’est prête pour s’en protéger, c’est pour moi le fait d’un hacker malveillant. Le hacking, au fond, c’est surtout qu’il est difficile de trouver une faille et de l’exploiter. Si un programme que j’ai créé peut être installé et exécuté avec tous les droits, n’importe qui peut alors créer un programme malveillant.

Avant même de se demander si Microsoft a bien ou mal réagi, le simple fait d’avoir divulgué cette vulnérabilité alors qu’aucune protection n’était prête, ce n’est rien d’autre que du cyberterrorisme.

 
click 2026-06-01

Pour moi, l’attitude de ce chercheur donne un peu l’impression de :
« La faille que j’ai découverte est tellement dangereuse que vous devriez évidemment mobiliser toutes vos ressources en priorité absolue, non ? grrr »
C’est comme ça que je le ressens.
Si Microsoft reçoit le signalement, le laisse traîner pendant un an sans explication et agit ainsi, alors le problème est du côté de Microsoft.
Mais rendre publique une nouvelle vulnérabilité juste parce que la réponse n’avance pas à la vitesse qui lui convient, ça me paraît plus proche d’un black hat que d’un white hat.

 
galaxy11111 2026-05-31

Cette manière de protester donne vraiment le bâton pour se faire battre, de la part de ce chercheur.

 
soulee 2026-05-31

Je partage aussi la déception suscitée par les récents agissements de Microsoft. Cela dit, je pense que le comportement du chercheur pose également problème.

En règle générale, il est d’usage qu’une faille de sécurité ne puisse être rendue publique par le chercheur qu’après un délai de 90 jours suivant son signalement à l’éditeur.
Comme les développeurs le savent, les correctifs de sécurité, qui viennent s’ajouter aux tâches existantes, prennent inévitablement du temps. C’est précisément pour cela qu’un délai de divulgation de 90 jours s’est imposé par usage, afin de permettre d’évaluer le niveau de risque et l’importance du problème, puis de le traiter par ordre de priorité pendant cette période.

Je pense qu’une divulgation aussi irresponsable expose les utilisateurs réels à des attaques sans défense, plus encore que Microsoft lui-même.

 
comsect 2026-05-31

Il faut distinguer la poursuite d’intérêts privés de la promotion de l’intérêt public. Si l’on utilise des techniques de marketing au nom de l’intérêt public sans assumer à la hauteur correspondante les responsabilités envers cet intérêt public, c’est se moquer des utilisateurs. Master Bang-i