Un chercheur découvre des vulnérabilités Windows pour alerter Microsoft, mais se retrouve attaqué par l’entreprise…

Un chercheur en cybersécurité sous le pseudonyme Nightmare Eclipse a découvert et signalé six vulnérabilités critiques dans Windows. Plutôt que de saluer cette initiative, Microsoft a réagi en le sanctionnant sévèrement. Cette affaire met en lumière un sérieux problème dans la relation entre les grandes entreprises et la communauté de la sécurité.

Le chercheur n’a pas suivi le cadre de divulgation ordinaire imposé par Microsoft. Pourtant, certaines de ces failles étaient déjà exploitées en attaque. Cette situation illustre un paradoxe : aider Microsoft à sécuriser son système conduit à être attaqué à son tour.

La communauté de la cybersécurité s’insurge contre ce que beaucoup qualifient d’injustice. Plus que jamais, la question de la coopération entre chercheurs indépendants et géants du logiciel est posée.

Les failles Windows détectées par Nightmare Eclipse, un coup dur pour Microsoft

Nightmare Eclipse a mis au jour six failles majeures dans Windows, dont BlueHammer, RedSun et MiniPlasma. Ces vulnérabilités permettent notamment une élévation de privilèges et des accès complets aux machines ciblées. Trois d’entre elles ont même déjà été exploitées dans des attaques réelles, selon Microsoft.

Malgré l’urgence, seules certaines de ces failles ont été corrigées, laissant un risque important subsister. Le chercheur n’a pas respecté les règles de « divulgation coordonnée » édictées. Cela sert de prétexte à Microsoft pour lancer une riposte juridique. On peut se demander si ce cadre rigide est judicieux lorsque la sécurité des utilisateurs est en jeu.

Quand la réponse de Microsoft tourne au bras de fer judiciaire

Le 23 mai, GitHub a banni le compte de Nightmare Eclipse, suivi par une suppression similaire sur GitLab le 27 mai. Microsoft a également désactivé son accès au portail de signalement officiel. Cette fermeture totale des canaux légitimes force à s’interroger sur la volonté réelle de coopération.

Kevin Beaumont, ancien de Microsoft et expert reconnu, critique vivement cette posture. Sur son blog, il souligne l’ironie : pour encourager la découverte de failles, Microsoft embauche parfois des chercheurs controversés ou achète des vulnérabilités. Or ici, la riposte est brutale et sans nuance.

Ce traitement inégal fragilise la confiance globale dans la manière dont la firme gère la sécurité.

Le dilemme de la divulgation responsable face à la réalité industrielle

Il existe des règles précises autour de la divulgation des failles. Elles imposent souvent un embargo avant publication, le temps que l’éditeur déploie un patch. Nightmare Eclipse a choisi un autre chemin, estimant la gravité trop élevée pour attendre. Le conflit juridique qui suit traduit un désaccord profond sur la méthode à privilégier.

Cette affaire révèle aussi des incohérences : Microsoft a déjà laissé courir certaines failles et parfois même favorisé une diffusion publique, que ce soit par embauche ou marché des vulnérabilités. Or, basculer sur la menace judiciaire contre ce chercheur fâche la communauté et complexifie le dialogue.

Les conséquences pour la sécurité des infrastructures et la confiance

Plus qu’un simple différend entre un chercheur et un éditeur, cette situation affecte la sécurité globale. Les vulnérabilités non corrigées exposent des millions de machines. Sans un cadre clair, ni une coopération effective, la détection et la correction de failles risque de se faire au prix fort.

L’exemple de Nightmare Eclipse incite surtout à repenser les pratiques de divulgation. La menace d’actions pénales peut dissuader des experts de signaler des bugs critiques, ce qui n’est bon ni pour Microsoft, ni pour les utilisateurs.

Il faut trouver un équilibre entre transparence, rapidité et respect des règles, sans faire de victimes collatérales dans un univers vitalement dépendant de la cybersécurité.

Source: www.lesnumeriques.com