Depuis début avril 2026, un certain Nightmare Eclipse, chercheur anonyme, a publié six failles zero-day dans Windows sans en avertir Microsoft au préalable. Redmond a répondu par un billet de blog menaçant d'une enquête pénale. Dans la communauté de la cybersécurité, la réaction ne s'est pas fait attendre.
D'après les billets publiés sur son blog, Nightmare Eclipse, qui opère aussi sous les noms Chaotic Eclipse et Dead Eclipse, affirme avoir voulu signaler les failles à Microsoft par le canal habituel. Ce canal, c'est le Microsoft Security Response Center (MSRC), un portail en ligne où les chercheurs indépendants soumettent les vulnérabilités qu'ils découvrent. Or, selon lui, Microsoft lui a révoqué l'accès à ce portail avant même qu'il ne publie quoi que ce soit. Sans ce compte, il n'avait plus de moyen officiel de contacter l'entreprise. Pour le moment, Microsoft fait la carpe.
Entre le 3 avril et le 17 mai derniers, six exploits fonctionnels ont été mis en ligne sur GitHub puis GitLab. BlueHammer (CVE-2026-33825) et RedSun (CVE-2026-41091) permettent à un attaquant d'obtenir les droits SYSTEM sur Windows en passant par Microsoft Defender. UnDefend (CVE-2026-45498) bloque les mises à jour des définitions antivirus, au point que Defender ne peut plus détecter de nouvelles menaces. YellowKey (CVE-2026-45585) va plus loin encore : avec une clé USB modifiée et un redémarrage, on contourne BitLocker sans identifiant ni code PIN. GitHub et GitLab ont depuis supprimé les comptes du chercheur.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Trois exploits déjà utilisés dans des attaques, un seul correctif disponible
Trois de ces six failles ont servi dans des intrusions réelles avant qu'un correctif n'existe. La société Huntress Labs a observé des attaques exploitant BlueHammer dès le 10 avril. L'agence américaine de cybersécurité CISA a ajouté la faille à son catalogue de vulnérabilités activement exploitées le 22 avril. Microsoft a publié un patch pour BlueHammer lors du Patch Tuesday d'avril. RedSun, UnDefend, YellowKey et GreenPlasma, eux, n'ont toujours pas de correctif officiel.
Microsoft a publié un billet sur le blog du MSRC pour critiquer Nightmare Eclipse. L'entreprise lui reproche de n'avoir pas tenté de coordonner la divulgation, et mentionne son Digital Crimes Unit (DCU), une division dont le rôle est d'engager des poursuites civiles et de transmettre des signalements aux forces de l'ordre. Katie Moussouris, fondatrice de Luta Security, a travaillé chez Microsoft au milieu des années 2000 et y a construit le premier programme de bug bounty de l'entreprise. Dans les colonnes de TechCrunch, elle a dit que mentionner la DCU dans ce contexte allait pousser les chercheurs à ne plus signaler leurs découvertes à Microsoft.
En juillet 2026, Microsoft change aussi ses règles de rémunération des chercheurs
Le moment choisi par Microsoft pour cette sortie publique est sujet à interprétations. À partir de juillet 2026, le MSRC modifie son programme de reconnaissance des chercheurs : le classement par points disparaît, remplacé par un classement fondé sur les primes effectivement versées. Cette réforme est en cours au moment même où le bras de fer avec Nightmare Eclipse est au plus haut. En clair, au moment où le chercheur a publié ses failles, le programme de bug bounty de Microsoft était en pleine transition. Si le chercheur avait voulu être rémunéré via le canal officiel, il l'aurait fait sous un système encore fondé sur des points, pas sur des primes en argent.
D'après l'analyse publiée par Barracuda Networks, MiniPlasma, un des six exploits publiés, exploite un problème que Google Project Zero avait identifié en 2020 et dont le correctif n'aurait jamais été déployé en production sur Windows 11. Kevin Beaumont, chercheur indépendant et ancien employé de Microsoft, a publié un billet très critique sur la gestion de cette affaire par l'entreprise. Sur X, des dizaines d'autres chercheurs, à l'instar de vx-underground, ont décrit leurs propres expériences de signalements restés sans réponse au MSRC.
Nightmare Eclipse a prévenu qu'une nouvelle divulgation était prévue pour le 14 juillet 2026, date du prochain Patch Tuesday. Depuis les bannissements de GitHub et GitLab, le chercheur n'a plus rien publié.
Source : TechCrunch
