Un chercheur en sécurité connu sous le pseudonyme Chaotic Eclipse a publié au cours des dernières semaines les détails techniques de six failles zero-day affectant plusieurs composants Windows, dont Defender et BitLocker, sans en informer Microsoft au préalable.
Microsoft a pris position publiquement contre cette pratique, en dénonçant des divulgations qui exposent les utilisateurs à des risques avant même qu’un correctif soit disponible. Dans la foulée, le compte GitHub du chercheur a été supprimé.
A lire aussi
- Windows 11 : les mises à jour peuvent enfin être suspendues sans limite
- Microsoft : un leaker mystère enchaîne les failles zero-day critiques
Six failles publiées sans coordination préalable
Les six vulnérabilités identifiées portent les noms de BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma et MiniPlasma. Trois d’entre elles, BlueHammer, RedSun et UnDefend, font l’objet d’une exploitation active depuis leur divulgation publique.
Microsoft a indiqué que ses équipes de sécurité travaillent en continu pour évaluer l’impact de ces failles, protéger les utilisateurs concernés et préparer des mises à jour. L’entreprise précise qu’aucun de ces détails n’avait été partagé en amont avec ses services.
L’entreprise s’est exprimée en faveur de la divulgation coordonnée des vulnérabilités, un processus qui consiste à informer le fournisseur concerné avant toute publication publique, afin de lui laisser le temps de corriger le problème.
Un compte supprimé, une escalade publique
À la suite de ces publications, GitHub, propriété de Microsoft, a supprimé le compte du chercheur. Chaotic Eclipse a alors transféré les codes d’exploitation sur GitLab, mais ce nouveau compte a également été bloqué rapidement.
Le chercheur a réagi publiquement en affirmant avoir tenté de contacter Microsoft pour signaler ces failles par les voies habituelles, sans obtenir de réponse satisfaisante. Il évoque notamment la suppression d’un compte Microsoft qu’il utilisait pour les rapports de bugs, ainsi qu’une absence totale de rémunération pour ses signalements antérieurs.
Dans un message publié ce week-end, il a également annoncé l’intention de rendre public un contenu supplémentaire le 14 juillet 2026, sans en préciser la nature.
Un désaccord profond sur les règles du jeu
Cette affaire illustre une tension récurrente dans la communauté de la sécurité informatique entre chercheurs indépendants et éditeurs de logiciels. D’un côté, Microsoft invoque la protection des utilisateurs et la nécessité d’un dialogue avant toute publication. De l’autre, le chercheur décrit une relation conflictuelle et un sentiment d’avoir été ignoré.
Microsoft a rappelé son engagement en faveur de la transparence et des échanges avec la communauté des chercheurs, notamment via des événements dédiés et des programmes de récompense. L’entreprise reconnaît que des désaccords peuvent survenir, mais réaffirme que la publication de codes d’exploitation pour des failles non corrigées peut avoir des conséquences concrètes pour les utilisateurs finaux.
L’exploitation active de trois des six failles divulguées confirme, dans ce cas précis, que la fenêtre entre publication et attaque peut être particulièrement courte.
Source : Thehackernews
