Microsoft critique la divulgation publique d’un zero-day Windows après la suspension d’un compte GitHub

Microsoft s’oppose vivement à un chercheur en sécurité qui a divulgué publiquement sans autorisation une vulnérabilité zero-day non corrigée, et le conflit s’intensifie après la suspension de son compte GitHub, le chercheur annonçant de nouvelles révélations.

Traduction complète

Microsoft a déclaré soutenir fermement le processus de divulgation coordonnée des vulnérabilités (CVD) et a appelé la communauté de la recherche en sécurité à partager ses découvertes et à laisser aux fournisseurs concernés la possibilité de comprendre clairement le problème et d’y remédier avant que les vulnérabilités ne soient rendues publiques.

Cette affaire a commencé lorsque le chercheur connu sous le nom de « Chaotic Eclipse » (alias Nightmare-Eclipse) a publié au cours du dernier mois les détails de plusieurs vulnérabilités zero-day affectant divers composants de Windows, dont Defender et BitLocker, en invoquant les défaillances du processus de gestion des vulnérabilités chez Microsoft.

Microsoft a indiqué que « plusieurs vulnérabilités zero-day ont été rendues publiques ces dernières semaines » et que « les détails de ces vulnérabilités n’ont pas été partagés avec Microsoft avant leur publication, exposant ainsi inutilement nos clients à des risques ». L’entreprise a ajouté que « pour répondre aux risques créés par cette divulgation non autorisée, nos équipes de sécurité travaillent 24 heures sur 24 afin d’évaluer l’impact, de protéger les clients et de développer des mises à jour de sécurité ».

Les vulnérabilités publiées sont au nombre de six : BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), Undefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlazma et MiniPlazma. Parmi elles, trois — dont BlueHammer, RedSun et Undefend — sont {p:50} déjà activement exploitées dans des attaques malveillantes en conditions réelles.

Microsoft a affirmé s’opposer « fermement » à ce type de divulgation non coordonnée, avertissant que si du code de preuve de concept (PoC) pour des vulnérabilités non corrigées tombait entre les mains d’acteurs malveillants, cela pourrait entraîner « de graves conséquences dans le monde réel ». L’entreprise a également souligné qu’« elle accueille des points de vue variés afin que la communauté de la sécurité puisse collaborer pour protéger tout le monde. Nous ne serons pas toujours d’accord sur tout, mais nous nous engageons à rester transparents et à continuer de créer des occasions de dialogue ». Elle a ajouté que « ces discussions ont lieu lors d’événements de remerciement destinés aux chercheurs, dans les conférences de sécurité, et dans le travail quotidien mené ensemble pour comprendre et corriger les vulnérabilités ».

À la suite de cette divulgation non autorisée, GitHub aurait fermé le compte du chercheur la semaine dernière. Le code d’exploitation des six vulnérabilités a ensuite été remis en ligne sur GitLab, mais le nouveau compte GitLab créé a lui aussi été suspendu.

Dans un message publié ce week-end, le chercheur a affirmé : « Pour résumer, quand j’ai essayé de communiquer activement, on m’a rejeté, insulté et humilié publiquement devant tout le monde. » Il a poursuivi : « Vous avez complètement supprimé le compte Microsoft que j’utilisais pour signaler des bugs, puis vous avez porté atteinte à ma réputation publiquement via l’avis de sécurité CVE-2026-45585. J’ai travaillé avec joie comme un idiot sans recevoir le moindre centime, et maintenant vous vous offrez même le luxe de signaler mon compte GitHub pour m’effacer publiquement sans laisser de trace ? Vous prouvez à tout le monde que vous escaladez activement ce conflit. Mais j’en ai fini de mendier. »

Le chercheur a également annoncé qu’il prévoyait de publier quelque chose le 14 juillet 2026, en déclarant : « Ce jour-là, je ferai voler en éclats les os de Microsoft. »

La phrase de l’auteur

On dirait que Microsoft n’est plus vraiment une entreprise accueillante.