Environ trente minutes après le plus gros Patch Tuesday jamais publié par Microsoft, le chercheur Nightmare Eclipse a mis en ligne LegacyHive, une faille d'élévation de privilèges qui touche toutes les versions de Windows encore supportées. Sans correctif.

Depuis avril, un chercheur anonyme mène contre Microsoft une guerre d'usure dont chaque épisode se joue à quelques heures d'un Patch Tuesday. Nightmare Eclipse, aussi connu sous le pseudonyme de Chaotic Eclipse, avait promis à Redmond une divulgation « à briser les os » pour le 14 juillet, date qu'il avait publiquement cochée. Le 14 juillet est arrivé, et avec lui la démonstration que la menace n'était pas qu'une rodomontade. Une demi-heure après que Microsoft eut bouclé le plus gros Patch Tuesday de son histoire, le chercheur a publié LegacyHive. Une faille d'élévation de privilèges dans le service de profils utilisateur de Windows, non corrigée et fonctionnelle sur toutes les versions client et serveur encore supportées.
LegacyHive, ou l'art du calendrier
Le nom de code désigne une élévation de privilèges dans le composant profsvc, ce service qui charge les profils utilisateur au démarrage d'une session et tourne au plus haut niveau d'autorisation du système. Selon l'analyse de CrowdStrike, la preuve de concept permet à un simple utilisateur standard de piéger ce service pour lui faire monter une ruche de registre contrôlée par l'attaquant, et décrocher ainsi les droits SYSTEM. La version publiée serait volontairement bridée (elle réclame les identifiants d'un second compte), mais l'auteur affirme que la version originale ne connaît aucune de ces limitations. Un demi-tour de vis qui ressemble davantage à une signature qu'à une prudence.
Le calendrier n'a rien d'un hasard pour qui suit ce feuilleton depuis le printemps. Nightmare Eclipse a fait de la publication post-Patch Tuesday sa marque de fabrique, une manière de réduire au minimum la fenêtre dont disposent les défenseurs avant que les pirates ne s'emparent du code. Clubic était revenu en détail sur cette controverse fin mai, quand Microsoft avait répondu au chercheur par un billet de blog musclé et la menace d'une enquête pénale. Depuis, la série s'est allongée méthodiquement : BlueHammer en avril, puis RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma, et RoguePlanet la semaine dernière, qui avait arraché à Microsoft un correctif hors cycle, une première dans ce bras de fer. Une prudence s'impose toutefois sur l'identité : LegacyHive est publiée sous le pseudonyme « MSNightmare » selon CrowdStrike, et son rattachement à la saga Nightmare Eclipse, s'il paraît solide, repose sur cette filiation de pseudonymes.
Un record de correctifs immédiatement terni
L'ironie de la séquence tient à ce que Microsoft venait précisément de livrer un Patch Tuesday historique. Le 14 juillet, l'éditeur a corrigé un nombre record de vulnérabilités, le plus gros bulletin de son histoire, soit environ trois fois le volume de juin. Deux méthodes de comptage circulent, sans se contredire : 570 failles publiées le jour même, ou 622 CVE sur l'ensemble du mois en incluant les correctifs livrés plus tôt. Ce gonflement, Microsoft l'attribue à MDASH, un outil qui fait travailler plusieurs modèles d'intelligence artificielle sur le code de Windows pour dénicher les vulnérabilités avant les attaquants. Parmi les failles corrigées figuraient trois zero-days, dont deux déjà exploitées et une troisième, un contournement de BitLocker, qui pourrait bien être une autre trouvaille du même chercheur divulguée en juin.
Le tableau dessine une pince qui se referme des deux côtés. D'un bord, l'IA de Microsoft déterre les bugs à un rythme inédit. De l'autre, un chercheur publie sans préavis des exploits fonctionnels, piétinant le principe de divulgation coordonnée qui veut qu'on prévienne l'éditeur avant toute mise en ligne. Entre les deux, la fenêtre de patch, ce laps de temps dont disposent les administrateurs pour se protéger, se réduit à peau de chagrin. En 2026, le délai qui sépare la publication d'un code d'attaque de son exploitation par des pirates se compte désormais en heures, parfois en minutes. Le débat sur la pertinence de publier une faille avant son correctif, aussi vieux que la cybersécurité, n'a jamais paru aussi actuel.
Reste l'essentiel pour qui utilise un PC Windows. La priorité absolue va à l'installation du Patch Tuesday de juillet, via les mises à jour KB5101650 ou KB5099414 pour Windows 11, qui colmate les trois zero-days déjà couverts. LegacyHive, elle, n'a pas encore de correctif : la vigilance s'impose, en particulier sur le contrôle des exécutions locales, en attendant que Microsoft réagisse. Une catégorie de machines cumule les mauvaises nouvelles : les postes sous Windows 10 non inscrits au programme de mises à jour de sécurité étendues (ESU), déjà privés des correctifs habituels, se retrouvent d'autant plus exposés. Le rendez-vous du 12 août, prochain Patch Tuesday, s'annonce à surveiller de près. Nightmare Eclipse, lui, n'a jamais dit que sa liste était close.
