C’est un bras de fer qui dure depuis plusieurs semaines.
Microsoft fait face à une campagne de divulgation sans précédent orchestrée par un chercheur en sécurité se présentant sous le pseudonyme Nightmare Eclipse.
Se décrivant comme un ancien employé de Redmond, le chercheur accusait le 23 mai 2026 l’entreprise d’ignorer systématiquement les signalements de vulnérabilités et de refuser tout dialogue. « Lorsque je vous ai activement demandé de communiquer avec moi, vous avez refusé, vous m’avez humilié et vous avez veillé à m’insulter devant tout le monde », avait-il écrit dans un billet de blog, promettant notamment une divulgation « explosive » pour le 14 juillet.
Depuis le début de ce bras de fer, il a ainsi publié six exploits zero-day, BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma et MiniPlasma, ciblant des composants critiques de Windows comme Defender et BitLocker.
Trois d’entre eux ont été exploités dans la nature avant même que Microsoft ne publie de correctifs. Tous sont depuis corrigés, notamment via le Patch Tuesday publié ce mardi 9 juin, une mise à jour qui bat tous les records avec plus de 200 vulnérabilités comblées.
Seulement voilà, quelques heures seulement après cette publication, Nightmare Eclipse a remis le couvert avec un septième exploit baptisé RoguePlanet.
Une faille dans le système antivirus de Windows
RoguePlanet cible Microsoft Defender, l’antivirus intégré à Windows, et fonctionne sur des systèmes Windows 10 et Windows 11 entièrement à jour.
L’idée est simple : Defender effectue en permanence des opérations en arrière-plan pour surveiller le système. La faille consiste à provoquer une collision entre deux de ces opérations lancées presque au même moment, une situation que le logiciel ne gère pas correctement. Dans certains cas, cette confusion ouvre une fenêtre d’opportunité qui permet à un attaquant d’obtenir les droits les plus élevés sur la machine, ce qu’on appelle les privilèges SYSTEM. Depuis un compte utilisateur ordinaire, il devient alors possible de prendre le contrôle total d’un PC ciblé.
Ce type de faille suppose toutefois d’avoir déjà un accès physique ou à distance à la machine. À l’origine, Nightmare Eclipse indique avoir développé une version bien plus dangereuse, en forçant une victime à ouvrir un simple fichier depuis un serveur distant. Microsoft a visiblement eu vent du problème et a discrètement corrigé la partie concernée de Defender en mai, forçant le chercheur à revoir sa copie. Ce qu’il a publié mardi est donc une version dégradée de l’exploit original, mais qui reste fonctionnelle.
Le chercheur lui-même reconnaît que l’exploit n’est pas parfaitement fiable : « C’est une condition de course, donc c’est un peu aléatoire. J’ai réussi à obtenir un taux de succès de 100 % sur certaines machines, tandis qu’il avait du mal à fonctionner sur d’autres. »
Plusieurs sociétés de cybersécurité ont néanmoins confirmé avoir reproduit l’exploit avec succès : « Il ne semble pas fiable à 100 %, mais il a fonctionné du premier coup pour moi », confirme Will Dormann, analyste chez Tharros Labs.
Microsoft tente désormais d’apaiser
Un nouvel épisode vient s’ajouter à une affaire qui passionne l’écosystème de la cybersécurité. En principe, la découverte et la divulgation de vulnérabilités suivent un protocole bien établi : les chercheurs notifient d’abord les éditeurs concernés afin qu’ils puissent corriger la faille, avant toute publication. Un processus qui vise à limiter les risques d’exploitation malveillante avant la mise à disposition d’un correctif.
La réaction initiale de Microsoft à la campagne de Nightmare Eclipse avait provoqué une onde de choc dans la communauté de la sécurité informatique : Redmond avait averti qu’il collaborerait avec les forces de l’ordre contre ceux se livrant à des « activités malveillantes causant un préjudice réel ».
Beaucoup y avaient vu une menace directe contre le chercheur. Sous la pression, Microsoft avait ensuite fait marche arrière, précisant n’avoir « aucune intention d’engager des poursuites contre les personnes menant ou publiant des recherches en matière de sécurité ».
Interrogé par BleepingComputer au sujet de RoguePlanet, un porte-parole de Microsoft a indiqué que l’entreprise « a pris connaissance de la vulnérabilité signalée et enquête activement sur la validité et l’applicabilité potentielle de ces allégations », ajoutant soutenir « la divulgation coordonnée des vulnérabilités, une norme sectorielle qui protège les clients et soutient la communauté de recherche en garantissant que leurs conclusions soient examinées et traitées de manière approfondie avant d’être rendues publiques ».
Une position de principe qui n’a visiblement pas convaincu Nightmare Eclipse, qui continue de publier ses découvertes. Sa promesse d’une divulgation massive le 14 juillet est elle aussi mise en suspens : « RoguePlanet m’a pris beaucoup plus de temps que prévu et m’a vraiment épuisé », a-t-il concédé mardi.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !