## Microsoft réagit aux divulgations de zero-day **Microsoft** a publiquement condamné la publication de plusieurs vulnérabilités zero-day dans **Windows** par un chercheur pseudonyme, Nightmare Eclipse. L'entreprise a déclaré que de telles divulgations non coordonnées ne sont "jamais justifiables" et a laissé entendre des répercussions juridiques potentielles pour ceux qui permettent la cybercriminalité. ### Les publications de zero-day À partir d'avril, Nightmare Eclipse a commencé à publier des vulnérabilités avec du code proof-of-concept fonctionnel sur **GitHub**, les rendant facilement accessibles aux attaquants comme aux professionnels de la sécurité. Le compte **GitHub** du chercheur a depuis été supprimé, et son blog semble être hors ligne. Parmi les vulnérabilités divulguées, **BlueHammer** (**CVE-2026-33825**), **UnDefend** (**CVE-2026-45498**) et **RedSun** (**CVE-2026-41091**) ont été exploitées lors d'intrusions réelles, selon les avis de **Microsoft**. Ces vulnérabilités sont également répertoriées dans le catalogue des vulnérabilités connues et exploitées de la **CISA** (Cybersecurity and Infrastructure Security Agency) américaine. Trois autres publications récentes – **YellowKey** (**CVE-2026-45585**), GreenPlasma et MiniPlasma – n'ont actuellement aucun correctif et aucune exploitation confirmée. ### Motivations du chercheur Le chercheur, qui reste anonyme, a invoqué des griefs contre **Microsoft**, alléguant que l'entreprise avait supprimé son compte **Microsoft Security Response Center**, retenu des paiements de primes et retiré l'attribution d'au moins un avis. Le chercheur a déclaré : "J'aurais pu gagner beaucoup d'argent en vendant ça, mais aucune somme d'argent ne se mettra entre moi et ma détermination contre **Microsoft**." Le chercheur a également menacé une nouvelle publication le 14 juillet, coïncidant avec le Patch Tuesday de **Microsoft**. ### La réponse de Microsoft Dans un article de blog, **Microsoft** a déclaré : "Nous restons fermement opposés à ces actions, et à toute divulgation en dehors d'une coordination appropriée qui pourrait nuire à nos clients et à l'écosystème numérique. Les divulgations non coordonnées qui mettent du code proof-of-concept pour des vulnérabilités non corrigées entre les mains de mauvais acteurs ne sont jamais justifiables et ont des conséquences réelles." L'entreprise a ajouté : "Notre Digital Crimes Unit continuera à poursuivre ces acteurs et ceux qui facilitent leurs activités criminelles – en coordonnant au besoin avec les forces de l'ordre du monde entier." ### Préoccupations de l'industrie Bien que les plaintes spécifiques du chercheur restent invérifiées, d'autres professionnels de la sécurité ont exprimé des préoccupations similaires concernant la gestion des vulnérabilités par **Microsoft**. Le Zero Day Initiative de **Trend Micro** a publiquement critiqué **Microsoft** en 2024 pour son manque de reconnaissance après avoir signalé une vulnérabilité activement exploitée. L'ancien PDG de **Tenable** a publié un article accusant **Microsoft** de tenir ses clients dans l'ignorance concernant une vulnérabilité **Azure** qui est restée non corrigée pendant des mois après sa divulgation. Un chercheur de **Check Point** a également rapporté que **Microsoft** avait corrigé un bug qu'il avait signalé sans le notifier. **Katie Moussouris**, fondatrice de Luta Security et architecte du programme original de primes aux chercheurs de bugs de **Microsoft**, a noté que si la divulgation de zero-days n'est pas idéale, "la non-divulgation est bien pire... Qu'est-ce qui pousse les chercheurs vers la non-divulgation ? Les menaces des fournisseurs." **Microsoft** maintient qu'il accueille les soumissions de vulnérabilités via son portail public de chercheurs, quelles que soient les interactions passées ou la réputation.