Depuis trois mois, Nightmare Eclipse publie exploit après exploit contre Windows et Defender, Microsoft répond en brandissant sa Digital Crimes Unit. RoguePlanet a arraché un correctif hors Patch Tuesday : une première dans ce bras de fer.

Sur la quasi-totalité des PC Windows, Microsoft Defender est la première, et souvent l'unique, ligne de défense contre les logiciels malveillants. Depuis avril 2026, un chercheur opérant sous les pseudonymes Nightmare Eclipse et Chaotic Eclipse en a fait le terrain de prédilection d'un conflit ouvert avec l'éditeur, en publiant exploit après exploit sur GitHub. RoguePlanet (CVE-2026-50656, CVSS 7.8), la dernière en date, est corrigée depuis le 8 juillet via une mise à jour silencieuse du Malware Protection Engine, bien en dehors du calendrier habituel de l'éditeur.
RoguePlanet, ou comment Defender lui-même devient la surface d'attaque
D'après le Microsoft Security Response Center, RoguePlanet exploite une condition de concurrence (race condition en jargon, ou TOCTOU pour Time Of Check to Time Of Use) dans le Malware Protection Engine, le moteur qui pilote l'ensemble des analyses de Defender. Le mécanisme ressemble à ce qui se passe quand un vigile vérifie votre identité à l'entrée d'une boîte, puis s'absente deux secondes avant de vous laisser passer. Quelqu'un qui connaît ces deux secondes peut se glisser à votre place. L'engine vérifie un fichier à un instant T, puis agit dessus à T+quelques millisecondes. Dans cet interstice, un attaquant avec un accès minimal à la machine peut substituer le contenu ciblé et déclencher l'exécution de code arbitraire avec les droits SYSTEM, les plus élevés sur Windows.

- Moteur de détection de dernière génération efficace et discret
- Intégration dans Windows 10 et Windows 11
- Pare-feu
Ce qui donne à RoguePlanet son caractère particulier, c'est que la protection en temps réel de Defender ne change rien à l'affaire. Qu'elle soit activée ou non, peu importe : la condition de concurrence se déclenche dans le moteur lui-même, avant que la couche de protection n'ait quoi que ce soit à examiner. C'est un peu comme construire une serrure de haute sécurité sur une porte dont le cadre est défaillant. Le score CVSS de 7.8 (« Important ») peut sembler modéré, mais la faille ne requiert ni connexion réseau ni droits particuliers. Un simple accès à la machine, via un phishing ou un téléchargement banal, suffit pour escalader vers SYSTEM.
Hors calendrier et sous pression : comment la saga a contraint Microsoft à sortir du rang
En avril 2026, Nightmare Eclipse publiait BlueHammer sur GitHub, exploit fonctionnel inclus, signalant publiquement que son dossier patinait au Microsoft Security Response Center. La série s'est allongée méthodiquement : RedSun, GreenPlasma, MiniPlasma, YellowKey, UnDefend, et maintenant RoguePlanet. À chaque publication, le ton du chercheur sur son blog ne laissait guère de place à l'interprétation sur l'état du bras de fer. Microsoft a répondu en brandissant sa Digital Crimes Unit et en accusant le chercheur de ne pas respecter la divulgation coordonnée (le principe qui consiste à avertir l'éditeur avant toute publication). BlueHammer a fini par être mobilisée dans des campagnes de ransomware avant même la disponibilité de son correctif.
Ce qui distingue RoguePlanet dans cette série : le patch n'est pas passé par un Patch Tuesday (prochain rendez-vous le 14 juillet), mais directement via une mise à jour du Malware Protection Engine le 8 juillet. Un correctif hors calendrier de ce calibre reste rare pour un composant aussi central, et indique qu'une pression suffisante s'était accumulée pour bousculer la routine. À titre de comparaison, des solutions EDR comme CrowdStrike Falcon ou SentinelOne n'exposent pas le même vecteur. Elles opèrent à un niveau d'architecture différent, sans interposer de moteur d'analyse dans le chemin d'accès aux fichiers, ce qui les rend structurellement moins vulnérables à ce type de race condition.
Pour vérifier la mise à jour, ouvrez la Sécurité Windows, puis « Protection contre les virus et menaces » et « Mises à jour » : le moteur doit afficher la version 1.1.26060.3008 ou supérieure. Si Windows Update tourne automatiquement, c'est presque certainement déjà le cas.
Entre les menaces de la Digital Crimes Unit et un bras de fer qui s'étire depuis avril, Microsoft a fini par lâcher un correctif hors cycle pour RoguePlanet. Nightmare Eclipse avait prévenu que sa liste de divulgations n'était pas épuisée, et Microsoft n'a toujours pas officiellement crédité le chercheur : le rendez-vous du 12 août s'annonce animé.