Microsoft s'est fermement prononcé en faveur de la Divulgation Coordonnée des Vulnérabilités (CVD), exhortant la communauté des chercheurs à partager ses découvertes et à donner aux fournisseurs affectés l'opportunité de mieux comprendre l'impact et d'y remédier avant qu'elles ne soient divulguées publiquement.  Ce développement intervient après qu'un chercheur nommé Chaotic Eclipse (alias Nightmare-Eclipse) a divulgué les détails de plusieurs vulnérabilités zero-day affectant plusieurs composants **Windows**, y compris **Defender** et **BitLocker**, au cours du dernier mois, citant une rupture dans la gestion par **Microsoft** du processus de divulgation des vulnérabilités. « Ces dernières semaines, plusieurs vulnérabilités zero-day ont été divulguées publiquement », a déclaré le géant de la technologie [ici](https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure). « Les détails de ces vulnérabilités n'ont pas été partagés avec **Microsoft** avant leur publication, et ces divulgations ont exposé nos clients à des risques inutiles. » « En réponse aux risques inutiles créés par ces divulgations, nos équipes de sécurité ont travaillé sans relâche pour comprendre l'impact, protéger nos clients et développer des mises à jour de sécurité. » ### Vulnérabilités Divulguées Les vulnérabilités incluent **BlueHammer** (**CVE-2026-33825**), **RedSun** (**CVE-2026-41091**), **UnDefend** (**CVE-2026-45498**), **YellowKey** (**CVE-2026-45585**), **GreenPlasma**, et **MiniPlasma**. Suite à leur divulgation, BlueHammer, RedSun et UnDefend ont tous fait l'objet d'exploitations actives dans la nature. **Microsoft** a déclaré qu'elle s'opposait « fermement » à de telles divulgations non coordonnées et que la mise à disposition de code proof-of-concept pour des vulnérabilités non corrigées pouvait avoir des « conséquences réelles » lorsqu'elles tombaient entre les mains de cybercriminels. ### Réponse de Microsoft « Nous invitons diverses perspectives qui aident la communauté de la sécurité à travailler ensemble pour protéger tout le monde. Nous réalisons que nous ne serons pas toujours d'accord sur tout, mais nous nous engageons à la transparence et continuons à créer des opportunités de dialogue », a ajouté le géant de la technologie. « Ces conversations ont lieu lors d'événements d'appréciation des chercheurs, de conférences de sécurité et dans le travail quotidien que nous accomplissons ensemble pour comprendre et traiter les vulnérabilités. » ### Conséquences et Répercussions Les retombées de ces divulgations auraient conduit **GitHub** à suspendre le compte du chercheur la semaine dernière. Bien que le code d'exploit pour les six vulnérabilités ait été téléchargé par la suite sur **GitLab**, le [compte nouvellement créé](https://gitlab.com/nightmare-eclipse) a depuis été bloqué. « Alors laissez-moi comprendre, quand je vous ai activement demandé de communiquer avec moi, vous avez refusé, m'avez humilié et vous vous êtes assuré de m'insulter devant tout le monde », a déclaré le chercheur [dans un post](https://deadeclipse666.blogspot.com/2026/05/july-14th.html) publié ce week-end. « Vous me diffamez publiquement avec votre avis **CVE-2026-45585** alors que vous avez littéralement supprimé le compte **Microsoft** que j'utilisais pour vous signaler des bugs et que je n'ai rien reçu en retour, et je l'ai quand même fait volontiers comme un idiot. Maintenant, vous prenez la courtoisie de signaler mon compte **GitHub** et de l'effacer du public, comme ça ? Vous prouvez à tout le monde que vous [sic] aggravez activement ce conflit, mais j'ai fini de vous supplier. » Le chercheur a également déclaré qu'il avait l'intention de publier quelque chose le 14 juillet 2026, qui « s'assurera que vos os seront brisés ce jour-là. »