Microsoft se retrouve au centre d’une polémique après avoir menacé un chercheur en sécurité, connu sous le pseudonyme Nightmare Eclipse, d’une enquête pénale et d’actions judiciaires.
Le motif, la publication de vulnérabilités non corrigées dans Windows, accompagnées de code d’exploitation, ce qui a mis en alerte une partie de la communauté cybersécurité. Le dossier est sensible parce que certaines failles évoquées auraient été utilisées dans des attaques réelles, selon Microsoft et l’agence américaine CISA. Dans le même temps, le chercheur affirme que Microsoft a coupé l’accès à son canal de signalement avant la divulgation publique. Résultat, un conflit frontal sur la responsabilité, le calendrier, et la frontière entre recherche et mise en danger.
Microsoft invoque sa Digital Crimes Unit et la CISA
La prise de position de Microsoft s’appuie sur sa Digital Crimes Unit, une structure interne qui revendique des leviers allant des actions civiles aux signalements criminels, en coordination avec les forces de l’ordre. Dans ce cas, l’entreprise reproche au chercheur d’avoir publié des détails techniques et des méthodes d’exploitation avant correctif, ce qui, selon elle, peut faciliter le travail d’attaquants opportunistes.
L’argument le plus lourd, c’est l’exploitation active. Microsoft affirme que certaines vulnérabilités divulguées ont été reprises dans des attaques constatées, une appréciation relayée par la CISA. Dans le monde réel, ce point change tout, une preuve d’exploitation peut déclencher des consignes d’urgence côté entreprises, des mesures de contournement, et une pression accrue sur les équipes sécurité qui doivent réagir sans patch.
Le cas est d’autant plus suivi qu’il touche à des composants très sensibles de Windows, cités dans les informations publiées, comme Defender et BitLocker. Même sans entrer dans les détails d’exploitation, ces noms suffisent à expliquer le niveau de risque perçu, on parle de protection antimalware et de chiffrement. Quand une divulgation arrive avant correctif, les équipes IT se retrouvent à arbitrer entre continuité de service et durcissement immédiat.
Nightmare Eclipse conteste la rupture du canal MSRC
De son côté, Nightmare Eclipse soutient que l’histoire commence par une rupture de confiance côté Microsoft. Le chercheur affirme que son accès au portail MSRC, utilisé pour échanger avec Microsoft sur les vulnérabilités, a été révoqué et que des tentatives de contact de bonne foi ont été bloquées. Dans cette lecture, la divulgation publique intervient après la fermeture du canal de coordination.
Le chercheur qualifie les accusations de Microsoft de diffamatoires et insiste sur une démarche initiale conforme à la divulgation coordonnée. Le nud du désaccord est simple, qui a cassé la relation en premier. Si le canal de signalement est coupé avant traitement, le chercheur se retrouve sans interlocuteur officiel, mais s’il publie des exploits non patchés, il s’expose à l’accusation d’avoir aggravé le risque.
Plusieurs noms de failles ont circulé dans les discussions autour de ce dossier, notamment BlueHammer, RedSun, UnDefend et YellowKey. Sur un plan pratique, un point reste flou publiquement, l’existence et la date de correctifs éventuels pour chacune d’elles au moment où la controverse enfle. Sans chronologie partagée, la perception diverge, Microsoft met en avant la mise en danger, le chercheur met en avant l’absence de dialogue.
La divulgation coordonnée devient un terrain de conflit juridique
Cette affaire relance un débat ancien, la place exacte de la divulgation dite responsable, désormais souvent formulée comme divulgation coordonnée. Des spécialistes rappellent que le vocabulaire a glissé, l’objectif n’est plus seulement de prévenir le vendeur, mais d’organiser une séquence de communication et de correction. Quand l’une des parties estime que l’autre ne joue pas le jeu, le cadre se transforme vite en rapport de force.
Le risque évoqué par plusieurs experts est un chilling effect, un effet dissuasif sur la recherche, avec des chercheurs qui hésitent à signaler des failles par crainte d’être traités comme des criminels. Des professionnels ont aussi ressorti des expériences négatives de signalement, alimentant l’idée d’une défiance croissante. À l’inverse, des responsables sécurité rappellent qu’une publication d’exploit non corrigé peut déclencher une vague d’attaques opportunistes, ce qui pèse sur des milliers d’organisations.
Un autre élément rend le dossier politiquement explosif, Microsoft opère au cur de l’écosystème développeurs et sécurité, avec des liens étroits à des plateformes de code et de collaboration. Quand un acteur de cette taille brandit la menace pénale, le message dépasse le cas individuel, il touche à la gouvernance des programmes de bug bounty, au rôle des équipes juridiques, et à la manière dont les entreprises gèrent l’embarras public. La communauté attend surtout des clarifications sur les règles, les délais, et les conditions de rétablissement d’un canal de dialogue quand il se rompt.
À retenir
- Microsoft menace Nightmare Eclipse d’actions judiciaires après des divulgations de failles non corrigées.
- Microsoft et la CISA évoquent une exploitation active de certaines vulnérabilités dans des attaques réelles.
- Le chercheur affirme que l’accès au portail MSRC a été révoqué avant la divulgation publique.
- L’affaire ravive le débat sur la divulgation coordonnée et le risque d’effet dissuasif pour les chercheurs.
Sources
- Microsoft under fire for threatening security researcher with criminal …
- Microsoft Threatens Researcher Over Windows Zero-Days | AI Weekly
- Microsoft calls security researchers criminals – lets read everyones MSRC stories!
- Microsoft threatens legal action after researcher published unpatched vulnerabilities | Ukraine news – #Mezha
- Microsoft Threatens Legal Action Over Zero-Day Leaks
