Contexte du différend
Un chercheur indépendant, connu sous le pseudonyme « Nightmare Eclipse », a publié sur GitHub et GitLab une série de failles non corrigées affectant des produits phares de Microsoft, dont l’antivirus Windows Defender et le chiffrement BitLocker. Pour chaque vulnérabilité – baptisée BlueHammer, RedSun, UnDefend ou YellowKey – le chercheur a partagé le code d’exploitation, transformant ainsi des zero‑days en informations publiques.
La réaction de Microsoft
Dans un billet de blog officiel, le géant du logiciel a reproché à l’auteur de ne pas avoir suivi la procédure de divulgation responsable via le Microsoft Security Response Center (MSRC). Selon Microsoft, la diffusion prématurée aurait facilité le travail des hackers, certains desquels auraient déjà utilisé ces failles dans des attaques documentées par la CISA. L’entreprise a annoncé que son Digital Crimes Unit envisagerait des poursuites civiles et même des signalements aux autorités policières.
Sanctions immédiates
Les comptes GitHub et GitLab du chercheur ont été suspendus, et l’accès au portail MSRC a été révoqué. Nightmare Eclipse affirme avoir tenté de dialoguer avec Microsoft, mais déclare que l’entreprise l’aurait « maltraité », le poussant à rendre publiques les vulnérabilités pour éviter qu’elles ne restent cachées indéfiniment.
Le débat autour de la divulgation responsable
Cette polémique ravive une discussion ancienne : les chercheurs indépendants ont-ils l’obligation morale ou légale de garantir que leurs découvertes soient corrigées avant d’être rendues publiques ? Depuis la campagne « No More Free Bugs » de 2009, la plupart des géants technologiques offrent des programmes de récompense (bug bounty) pouvant atteindre six chiffres pour des signalements confidentiels. Pourtant, l’expérience de nombreux experts – dont Katie Moussouris, figure de la cybersécurité – montre que les relations avec certains fournisseurs, Microsoft en tête, peuvent être laborieuses et décourageantes.
Conséquences pour la communauté
Le risque principal évoqué par les vétérans du secteur est l’effet dissuasif : si les chercheurs craignent des menaces judiciaires ou la suppression de leurs comptes, ils pourraient décider de se taire, laissant des vulnérabilités critiques non découvertes. Un climat de méfiance pourrait donc nuire à la sécurité globale des utilisateurs.
Perspectives et enjeux futurs
Le dialogue entre les fabricants de logiciels et la communauté de la recherche en sécurité reste fragile. Les entreprises souhaitent protéger leurs marques et leurs clients, mais elles doivent également instaurer des processus transparents et équitables pour encourager les signals de vulnérabilités. Pour l’instant, Microsoft n’a pas commenté davantage, tandis que Nightmare Eclipse refuse toute prise de parole supplémentaire.
