Microsoft au cœur d’une polémique : un chercheur en cybersécurité en ligne de mire ?

Microsoft est au centre d’une controverse majeure. Un chercheur en cybersécurité a publié plusieurs failles zero-day. La réaction de l’éditeur a déclenché un intense débat dans la communauté tech.

Microsoft et le bras de fer avec le chercheur Nightmare Eclipse

Depuis début avril, un chercheur anonyme surnommé Nightmare Eclipse balance des exploits Windows sur GitHub. Six failles critiques pour Windows 11, sans avertir Microsoft en amont. Cette publication fait trembler la géante de Redmond.

Microsoft réagit par des menaces de poursuite, dénonçant une irresponsabilité. Le problème est que le chercheur affirme avoir tenté de contacter le Microsoft Security Response Center (MSRC) sans succès. Voilà qui questionne sérieusement la gestion des vulnérabilités par Microsoft.

Un programme de bug bounty en pleine transition

Depuis juillet 2026, Microsoft modifie son système de récompense des chercheurs en sécurité. Fini le classement par points, place à un classement basé sur les primes versées. La polémique éclate en pleine bascule du programme.

Si Nightmare Eclipse avait voulu être rémunéré via le circuit officiel, il aurait dû encore se plier à l’ancien système fondé sur les points. Ce changement a semé la confusion et pourrait expliquer en partie la démarche du chercheur.

Exploits connus mais jamais patchés : un exemple frappant

L’analyse signée Barracuda Networks met en lumière un exploit baptisé MiniPlasma parmi les six publiés. Problème : la faille était identifiée dès 2020 par Google Project Zero. Pourtant, aucune correction n’a été réellement déployée dans Windows 11.

Cette absence de correctif soulève de graves questions sur l’efficacité du processus de mise à jour de Microsoft. Des failles datées qui traînent, c’est un risque énorme pour les utilisateurs et les entreprises.

Une communauté qui se fait entendre

Kevin Beaumont, ancien employé de Microsoft et chercheur indépendant, dénonce publiquement la gestion de l’affaire. Sur le réseau social X, des dizaines d’autres experts partagent des expériences similaires de signalements ignorés ou bâclés.

Cette vague de témoignages renforce l’idée d’un problème structurel au sein du MSRC. Le débat ne porte plus seulement sur un chercheur mécontent mais sur la culture même de la sécurité chez Microsoft.

Une faille massive exposée publiquement, un risque calculé ?

Nightmare Eclipse n’a pas agi à la légère. Son palmarès de zero-days est impressionnant, et certains exploits comme BlueHammer ouvrent l’accès aux fichiers système via Windows Defender. Publier ces codes est un pari risqué.

Le chercheur affirme vouloir forcer Microsoft à réagir, quitte à risquer une escalade judiciaire. Pour lui, la sécurité passe avant la confidentialité des vulnérabilités jusqu’à patch ou retour de Microsoft.

La sécurité informatique au cœur des enjeux industriels

Microsoft ne peut pas se permettre de voir ses plateformes critiquées pour leur manque de réactivité face aux vulnérabilités. La continuité et la résilience des infrastructures sont en jeu. Une faille non corrigée peut devenir un point défaillant majeur.

Les experts insistent : une architecture ne vaut rien sans un plan clair de gestion des failles. Ce bras de fer avec des chercheurs souligne une défaillance sécuritaire qu’il faut résoudre au plus vite.

Source: www.clubic.com