Microsoft a menacé de poursuites pénales un chercheur en sécurité qui avait publié des failles
Microsoft a menacé de poursuites pénales un chercheur en sécurité qui a publié des failles, après avoir suspendu son compte de signalement des vulnérabilités, la communauté de la cybersécurité est en colère
Microsoft a publié un article de blog critiquant un chercheur en sécurité connu sous le nom de « Nightmare Eclipse » pour avoir divulgué publiquement une série de vulnérabilités non corrigées dans Windows Defender et BitLocker. Elle a averti que son unité chargée de la lutte contre la cybercriminalité « continuera à engager des poursuites contre ces acteurs et ceux qui facilitent leurs activités criminelles ». Les experts en sécurité ont immédiatement averti que cette formulation risquait d'avoir un effet dissuasif sur l'ensemble de la communauté scientifique, décourageant ainsi de futures divulgations responsables. Microsoft a alors clarifié sa position, atténuant ainsi les menaces juridiques perçues et réaffirmant son engagement en faveur d’une divulgation coordonnée des vulnérabilités.
Microsoft Corporation est une multinationale américaine spécialisée dans les technologies, dont le siège social est situé à Redmond, dans l'État de Washington. L'entreprise a joué un rôle déterminant dans l'essor des ordinateurs personnels grâce à des logiciels tels que Windows et s'est depuis diversifiée dans des domaines tels que les services Internet, le cloud computing, l'intelligence artificielle, les jeux vidéo, etc. Comptant parmi les géants de la technologie, Microsoft est le premier éditeur de logiciels en termes de chiffre d'affaires, l'une des sociétés cotées en bourse les plus valorisées et l'une des marques les plus valorisées au monde.
Récemment, Microsoft a publié un article de blog critiquant un chercheur en sécurité connu sous le nom de « Nightmare Eclipse » pour avoir divulgué publiquement une série de vulnérabilités non corrigées dans Windows Defender et BitLocker. L'entreprise a ensuite fait appel à son unité chargée de la criminalité numérique (Digital Crimes Unit), qui gère les signalements d'actes criminels et la coordination avec les forces de l'ordre. La communauté de la cybersécurité a réagi avec indignation.
Ces failles, baptisées BlueHammer, RedSun, UnDefend et YellowKey, affectent le moteur antivirus intégré de Microsoft et son outil de chiffrement de disque. Le chercheur a publié le code d'exploitation sur GitHub (propriété de Microsoft) et GitLab sans laisser à Microsoft le temps de corriger les failles. Certaines de ces vulnérabilités ont depuis été exploitées par des pirates lors d'attaques réelles, selon Microsoft et la CISA.
La position de Microsoft est que le chercheur aurait dû signaler les failles en privé afin que l'entreprise puisse les corriger avant leur divulgation publique. L'entreprise a qualifié cela de divulgation « responsable ». Dans un article de blog, elle a averti que son unité chargée de la lutte contre la cybercriminalité « continuera à engager des poursuites contre ces acteurs et ceux qui facilitent leurs activités criminelles ».
Nightmare Eclipse présente une version différente des faits. Dans une série d'articles de blog publiés au cours des deux dernières semaines, le chercheur a affirmé avoir été en contact avec Microsoft. La société lui aurait retiré l’accès à son compte du Microsoft Security Response Center, le portail où les chercheurs soumettent leurs rapports de vulnérabilité. Le chercheur a laissé entendre qu’il n’avait d’autre choix que de rendre ces vulnérabilités publiques. Au moment de la publication, les failles étaient de type « zero-day » : des failles inconnues du fabricant du logiciel au moment où elles sont divulguées ou exploitées. Les comptes GitHub et GitLab du chercheur ont depuis été bannis.
La communauté de la cybersécurité est en colèreOver the past several days, we have been listening to the conversation around coordinated disclosure and the relationship between security researchers and vendors. We recognize that this relationship is both critical and, at times, fragile. We deeply value the security community,…
— Microsoft Security Response Center (@msftsecresponse) June 1, 2026
Les vétérans de la cybersécurité ont réagi par de vives critiques. Katie Moussouris, fondatrice de Luta Security et pionnière du programme de prime aux bogues de Microsoft au milieu des années 2000, a déclaré que le langage utilisé par l’entreprise était provocateur. « Invoquer le terme de divulgation « responsable » était la première frappe », a-t-elle déclaré à TechCrunch. « Ajouter une menace de poursuites en mentionnant la DCU était exagéré. » Moussouris a averti que les conséquences pourraient s’étendre au-delà de cette affaire. « Cela ne fera que pousser les chercheurs en sécurité à se méfier de Microsoft », a-t-elle déclaré. Le fait que moins de chercheurs se manifestent pour signaler des failles « rend la situation moins sûre pour nous tous ».
Kevin Beaumont, chercheur en sécurité et ancien employé de Microsoft, a qualifié la position de l’entreprise de « catastrophe dont elle est elle-même responsable ». Il a écrit : « La création et la distribution d’exploits de preuve de concept pour des vulnérabilités zero-day constituent désormais une “activité criminelle” ? La divulgation responsable est très souvent présentée comme visant à protéger le propriétaire du produit, et non le client. »
Le débat sur la divulgation dure depuis des décennies mais n’est pas encore entièrement résolu. Le consensus du secteur est la « divulgation coordonnée » : les chercheurs signalent les bogues en privé, les entreprises les corrigent, et les détails sont publiés une fois qu’un correctif est disponible. Moussouris elle-même a convaincu Microsoft d’adopter cette formulation lorsqu’elle y travaillait, remplaçant le terme « divulgation responsable », que les chercheurs considéraient comme présentant les intérêts de l’entreprise comme la norme morale par défaut.
La décision de Microsoft de revenir à une formulation « responsable » et de menacer de poursuites pénales constitue un recul significatif. Les programmes de prime aux bogues existent parce que le secteur a appris, au fil d’années de relations conflictuelles, qu’il est moins coûteux et plus sûr de payer les chercheurs pour qu’ils divulguent les failles en privé plutôt que de les ignorer jusqu’à ce qu’ils les rendent publiques. La plupart des entreprises versent désormais des primes à six chiffres pour les vulnérabilités critiques.
Les programmes de divulgation de vulnérabilités à l'ère de l'IA
Le projet Glasswing d’Anthropic a identifié 10 000 vulnérabilités critiques en un mois dans des logiciels open source, et seules 97 ont été corrigées. L’écart entre la découverte et la correction se creuse dans l’ensemble du secteur. Menacer les personnes qui trouvent les failles ne comble pas cet écart. Cela ne fait que l’aggraver. Le paysage de la sécurité de l’IA crée de nouvelles catégories de vulnérabilités plus rapidement que les entreprises ne peuvent y remédier. L’exploit Claw Chain d’OpenClaw, le piratage du réseau ferroviaire TETRA à Taïwan et, désormais, les propres produits de Microsoft illustrent tous la même dynamique : la surface d’attaque s’étend, les chercheurs qui la cartographient sont essentiels, et les aliéner a des conséquences.
La question concrète est la suivante : que se passe-t-il lorsqu’un chercheur découvre un bug critique, le signale par la voie officielle, et que l’entreprise résilie son compte ? Si le récit de Nightmare Eclipse concernant la résiliation par le MSRC est exact, Microsoft a créé les conditions de la divulgation publique qu’elle condamne aujourd’hui. Si ce récit est inexact, Microsoft ne l’a pas précisé.
L'effet dissuasif décrit par Moussouris est déjà visible. D'innombrables chercheurs ont partagé leurs propres expériences négatives concernant le signalement de bogues à Microsoft en réponse à l'article de blog. Une entreprise qui dépend de chercheurs externes pour détecter les failles dans des produits utilisés par plus d'un milliard de personnes fait savoir à ces chercheurs que la découverte de failles pourrait entraîner des poursuites pénales. Le message est clair. Quant à savoir si c'est judicieux, c'est une tout autre question.
En effet, Windows 11 n'est pas exempt de vulnérabilités. Au contraire, même Microsoft a admis que presque toutes les fonctionnalités principales de son OS sont défectueuses. En novembre 2025, Microsoft a confirmé plusieurs bogues dans Windows 11 remontant à juillet 2025. Ces bugs auraient été causés par la mise à jour 24H2 (KB5062553), qui a affecté les composants système reposant sur XAML, un langage de balisage utilisé dans Windows pour les composants d'interface utilisateur. Bien que ces problèmes apparaissent principalement lors de la mise en service d'appareils ou du démarrage d'images non persistantes, affectant principalement les déploiements en entreprise et dans l'éducation, il est inquiétant que Microsoft ait mis autant de temps à reconnaître la situation. Pourtant, en juillet 2025, la société affirmait que Windows 11 24H2 était la version Windows la plus fiable jamais conçue.
Pour information, les programmes de prime aux bogues de l'entreprise ont versé plus de 60 millions de dollars aux chercheurs depuis 2013, dans le cadre de 18 programmes couvrant Azure, Windows, Microsoft Defender et les systèmes d'IA.
Microsoft clarifie sa position après la controverse
Microsoft a clarifié sa position, atténuant ainsi les menaces juridiques perçues et réaffirmant son engagement en faveur d’une divulgation coordonnée des vulnérabilités, à la suite d’une vive polémique au sein de la communauté des chercheurs en sécurité. Dans un communiqué soigneusement rédigé publié fin mai 2026, le Centre de réponse aux incidents de sécurité de Microsoft (MSRC) a cherché à désamorcer une crise grandissante concernant sa gestion des relations avec la communauté des chercheurs en sécurité, en précisant qu’il n’avait « aucune intention d’intenter une action contre les personnes menant ou publiant leurs recherches en matière de sécurité ».
Cette déclaration est intervenue quelques jours après la publication, le 28 mai, d’un article sur le blog du MSRC condamnant un chercheur connu sous le nom de Nightmare Eclipse pour avoir divulgué six vulnérabilités Windows « zero-day » non corrigées sans coordination, ce qui a été largement interprété comme une menace juridique générale à l’encontre de tous les chercheurs qui contournent les canaux officiels. Dans son premier article de blog, Microsoft a averti qu’il « engagerait des poursuites contre les acteurs et ceux qui facilitent leurs activités criminelles », tandis que le MSRC a également abordé la situation dans un article publié sur X.
Les experts en sécurité ont immédiatement averti que ce langage pourrait avoir un effet dissuasif sur l’ensemble de la communauté des chercheurs, décourageant ainsi les futures divulgations responsables. Dans sa clarification ultérieure, Microsoft a établi une distinction nette entre la recherche de bonne foi et les activités malveillantes. La société a déclaré que des poursuites judiciaires ne seraient engagées que « lorsqu’un individu enfreint la loi et se livre à des activités malveillantes causant un préjudice réel à nos clients », séparant explicitement l’exploitation criminelle de la recherche et de la publication légitimes de vulnérabilités.
La déclaration a reconnu que certaines interactions passées entre le MSRC et les chercheurs « n’avaient pas été à la hauteur » et s’est engagée à renouveler son attachement à « la transparence, une communication claire et le professionnalisme » dans chaque interaction relative à la divulgation. Microsoft a également reconnu l'ampleur et la complexité croissante de sa charge de travail en matière de divulgation, soulignant qu'elle traite chaque année un « volume élevé » de rapports de vulnérabilité, un chiffre qui ne cesse d'augmenter à mesure que la recherche en sécurité assistée par l'IA se développe.
Voici le communiqué de Microsoft
Une responsabilité partagée : protéger nos clients grâce à la divulgation coordonnée des vulnérabilités
Au cours des dernières semaines, plusieurs vulnérabilités de type « zero-day » ont été rendues publiques. Les détails de ces vulnérabilités n’ont pas été communiqués à Microsoft avant leur publication, et ces divulgations ont exposé nos clients à des risques inutiles.
Chaque année, nous collaborons avec des centaines de chercheurs en sécurité dans le cadre du programme de divulgation coordonnée des vulnérabilités (CVD) – la norme du secteur qui demande aux chercheurs de partager leurs découvertes avec les éditeurs concernés afin de leur donner l'occasion d'en comprendre l'impact et d'y remédier avant que les détails ne soient rendus publics.
Ce partenariat nous permet d'apporter des mises à jour aux services concernés avant que le code de preuve de concept ne tombe entre les mains de personnes malveillantes. Grâce à ce précieux partenariat, nous veillons également à ce que les chercheurs soient rémunérés pour leurs divulgations responsables et reconnus publiquement pour leur expertise.
Les vulnérabilités connues sous les noms de RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma et MiniPlasma n’ont pas fait l’objet d’une divulgation responsable. En réponse au risque inutile créé par ces divulgations, nos équipes de sécurité ont travaillé sans relâche pour en comprendre l’impact, protéger nos clients et développer des mises à jour de sécurité.
Nous restons fermement opposés à ces actions, ainsi qu’à toute divulgation hors du cadre d’une coordination appropriée susceptible de nuire à nos clients et à l’écosystème numérique. Les divulgations non coordonnées qui mettent entre les mains de personnes malveillantes du code de preuve de concept pour des vulnérabilités non corrigées ne sont jamais justifiables et ont des conséquences concrètes. Nos équipes de sécurité à travers l’entreprise travaillent sans relâche pour traquer les acteurs malveillants qui recherchent des failles comme celles-ci pour attaquer Microsoft et nos clients. Notre Unité des crimes numériques continuera à engager des poursuites contre ces acteurs et ceux qui facilitent leurs activités criminelles, en coordonnant ses efforts si nécessaire avec les forces de l'ordre du monde entier.
Nous encourageons les points de vue diversifiés qui aident la communauté de la sécurité à travailler ensemble pour protéger tout le monde. Nous sommes conscients que nous ne serons pas toujours d'accord sur tout, mais nous nous engageons à faire preuve de transparence et à continuer de créer des occasions de dialogue. Ces échanges ont lieu lors d'événements de reconnaissance des chercheurs, de conférences sur la sécurité et dans le cadre de notre travail quotidien commun visant à comprendre et à corriger les vulnérabilités.
Notre équipe continuera à soutenir la recherche responsable tout en mettant tout en œuvre pour enquêter rapidement sur les vulnérabilités qui affectent nos clients, y remédier et publier des mises à jour. Nous avons toujours accueilli et continuerons d’accueillir les signalements de vulnérabilités de la part de quiconque via notre portail public destiné aux chercheurs, indépendamment des interactions passées ou de la réputation de l’auteur.
L’équipe MSRC
Source : Communiqué de Microsoft
Et vous ?
Pensez-vous que ce communiqué est crédible ou pertinent ?
Voir aussi :
Répondre avec citation
Partager