Microsoft fait face aux réactions de la communauté de la sécurité à propos de Nightmare Eclipse

La menace publique de Microsoft d'engager des poursuites pénales à l'encontre du chercheur à l'origine de six divulgations de failles de Windows a transformé un différend sur les vulnérabilités en une véritable levée de boucliers de la part de la communauté des spécialistes de la sécurité.

Le chercheur, connu sous le nom de Nightmare Eclipse, a publié, entre le début du mois d'avril et la mi-mai 2026, un code de validation de concept pour six vulnérabilités de Windows, sans coordination avec Microsoft. Trois failles, BlueHammer, RedSun et UnDefend, ont été exploitées dans des attaques réelles. YellowKey, GreenPlasma et MiniPlasma ne sont toujours pas corrigées.

Microsoft riposte

Microsoft a publié un billet de blog officiel le 28 mai, décrivant les divulgations comme "jamais justifiables" et avertissant que son unité de lutte contre les crimes numériques poursuivrait en justice toute personne permettant une activité criminelle par le biais d'un code d'exploitation. La société a accusé le chercheur de contourner les normes coordonnées de divulgation des vulnérabilités.

Nightmare Eclipse conteste cette affirmation. Le chercheur affirme que Microsoft a supprimé le compte du Security Response Center utilisé pour déposer les rapports de bogues initiaux et a refusé tout contact ultérieur. "Vous avez littéralement supprimé le compte Microsoft que j'utilisais pour vous signaler les bogues, et je n'ai rien gagné à le faire", écrit le chercheur.

La réaction de la communauté

Le secteur de la sécurité ne se range pas du côté de Microsoft. Katie Moussouris, qui a été à l'origine des programmes de primes aux bogues chez Microsoft et qui a inventé le cadre de divulgation coordonnée que l'entreprise invoque aujourd'hui, a publiquement critiqué l'article de blog sur Bluesky. L'invocation de la "divulgation responsable" était le premier problème, a-t-elle écrit. L'ajout d'une menace de poursuites de la part de la Digital Crimes Unit n'a fait qu'aggraver le problème et a dissuadé les chercheurs de faire confiance à Microsoft.

Kevin Beaumont, un ancien ingénieur en sécurité de Microsoft, a qualifié la situation de "benne à ordures qu'ils ont eux-mêmes créée", notant que Microsoft avait déjà embauché SandboxEscaper après qu'elle ait publié sans avertissement du code d'exploitation de type "zero-day", un comportement que Redmond qualifie à présent de criminel.

Ce qui n'a pas encore été corrigé et ce qui va suivre

Nightmare Eclipse a été banni de GitHub vers le 23 mai et de GitLab les 26 et 27 mai, et publie désormais à partir d'un blog personnel. Une version d'exploit du 14 juillet ciblant le Patch Tuesday de juillet reste une menace, avec des avertissements d'escalade vers des vulnérabilités d'exécution de code à distance.

Les administrateurs doivent traiter YellowKeygreenPlasma et MiniPlasma comme des risques actifs. Pour YellowKey, la solution proposée par Microsoft consiste à modifier manuellement la ruche de registre WinRE hors ligne et à supprimer autofstx.exe de la valeur BootExecute.

Une configuration TPM+PIN avant le démarrage coupe entièrement la voie d'extraction physique. Moteur Defender version 1.1.26040.8 ou ultérieure gère RedSun et UnDefend, et cette mise à jour ne devrait pas attendre une fenêtre de maintenance programmée.