Microsoft et Nightmare Eclipse continuent de s’affronter : l’éditeur américain s’est exprimé pour la première fois et a décidé de supprimer le compte GitHub de ce chercheur en sécurité.
Six vulnérabilités zero-day publiées par Nightmare Eclipse
Depuis plusieurs semaines, il y a un véritable bras de fer entre Microsoft et un chercheur en sécurité surnommé Nightmare Eclipse. En effet, plusieurs failles de sécurité critiques ont été rendues publiques sans que Microsoft n’en ait été informé au préalable. À savoir :
À chaque fois, il a également publié un code d’exploitation (PoC) sur GitHub. Si le chercheur divulgue ces vulnérabilités, c’est parce qu’il est mécontent de la manière dont il a été traité par l’équipe MSRC de Microsoft. Ces actes sont des vengeances.
Même s’il a peut-être de bonnes raisons d’en avoir après Microsoft, il y a un vrai problème : les utilisateurs et les entreprises sont directement impactés ! En effet, ces vulnérabilités sont du pain béni pour les cybercriminels. Ceci est d’autant plus vrai que la majorité ne sont pas patchées à ce jour.
D’ailleurs, pour la firme de Redmond, la mise à disposition de codes d’exploitation avant même la publication d’un correctif constitue une menace directe et irresponsable. Dans un article publié à ce sujet et sans jamais nommer le chercheur directement, Microsoft rappelle sa position ferme à ce sujet : “Les divulgations non coordonnées qui mettent du code de preuve de concept pour des vulnérabilités non corrigées entre les mains d’acteurs malveillants ne sont jamais justifiables et ont des conséquences bien réelles.”
Un appel au respect de la divulgation coordonnée (CVD)
Cet incident est l’occasion pour Microsoft de rappeler les règles de l’art qui régissent le secteur de la cybersécurité. Chaque année, l’entreprise collabore avec des centaines de chercheurs via le programme CVD (Coordinated Vulnerability Disclosure). Ce standard de l’industrie demande aux chercheurs de partager d’abord leurs découvertes avec les éditeurs concernés afin de leur laisser le temps d’agir et de corriger le tir avant toute annonce officielle.
Ce mode de fonctionnement :
Permet de déployer des mises à jour sur les services impactés avant que des pirates ne s’emparent des détails techniques.
Assure une rémunération financière aux chercheurs, suite à leurs divulgations responsables.
Garantit la reconnaissance publique des chercheurs.
L’éditeur rappelle également que son portail public reste accessible à tous pour soumettre des vulnérabilités, “indépendamment des interactions passées ou de la réputation” des auteurs. La porte reste ouverte pour Nightmare-Eclipse.
Au-delà de ce rappel à l’ordre, Microsoft est aussi passé à l’action : le compte GitHub de Nightmare-Eclipse a été supprimé. Pour autant, Microsoft n’en parle pas dans son article, mais on se doute bien que cette décision vient de chez eux… Un acte symbolique puisque les codes d’exploitation ont été accessibles à tout le monde pendant des semaines… Et puis, rien n’empêche le chercheur de publier ses trouvailles sur un autre espace.
Ce n’est sûrement pas la dernière fois que l’on en parle : le chercheur a annoncé une surprise pour le Patch Tuesday de juin 2026. Nous aurons la réponse, et le prochain épisode, dans quelques jours.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.