Un conflit inédit oppose Microsoft à un chercheur en sécurité opérant sous le pseudonyme Nightmare Eclipse. Depuis le début du mois d'avril 2026, ce dernier a mis en ligne six failles de type zero-day affectant Windows, sans en informer l'éditeur au préalable. En riposte, la firme de Redmond a publié une mise en garde évoquant une possible enquête pénale, ce qui a provoqué de vives réactions parmi les spécialistes de la sécurité informatique.

Une démarche de signalement contrariée

D'après les informations communiquées par le chercheur sur son blog, ce dernier affirme avoir tenté de signaler les vulnérabilités via le portail habituel, le Microsoft Security Response Center (MSRC). Il soutient toutefois que son accès à ce canal a été révoqué avant même toute publication de sa part, le privant ainsi de tout moyen officiel de contacter l'entreprise. Microsoft, de son côté, n'a pas commenté ces allégations.

Six exploits rendus publics, trois déjà exploités

Entre le 3 avril et le 17 mai, Nightmare Eclipse a diffusé des codes d'exploitation fonctionnels sur les plateformes GitHub puis GitLab. Ces derniers ont depuis été retirés par les deux services. Parmi les failles révélées figurent BlueHammer (CVE-2026-33825) et RedSun (CVE-2026-41091), qui permettent à un attaquant d'élever ses privilèges jusqu'au niveau SYSTEM en contournant Microsoft Defender. UnDefend (CVE-2026-45498) bloque quant à lui les mises à jour des définitions antivirus, rendant Defender incapable de détecter de nouvelles menaces. YellowKey (CVE-2026-45585) va encore plus loin : il permet, à l'aide d'une clé USB modifiée, de contourner le chiffrement BitLocker sans mot de passe ni code PIN.

Trois de ces six vulnérabilités ont été observées dans des attaques réelles avant que Microsoft ne publie un correctif. La société Huntress Labs a signalé des intrusions exploitant BlueHammer dès le 10 avril. L'agence américaine de cybersécurité CISA a inscrit cette faille à son catalogue des vulnérabilités activement exploitées le 22 avril. Microsoft a diffusé un correctif pour BlueHammer lors du Patch Tuesday d'avril. En revanche, RedSun, UnDefend, YellowKey et GreenPlasma ne disposent toujours d'aucun correctif officiel.

Menaces et réactions

Face à cette divulgation non coordonnée, Microsoft a pris la parole via un billet de blog dans lequel elle menace de déclencher une enquête pénale. Cette position a été perçue par une partie de la communauté comme une tentative d'intimidation destinée à faire taire un chercheur qui aurait pourtant cherché à collaborer de bonne foi. Le débat porte notamment sur l'équilibre entre la nécessité de signaler les failles de manière responsable et le droit des chercheurs à alerter le public lorsque les canaux officiels sont fermés.

Pour l'heure, ni le chercheur ni Microsoft n'ont fait de nouvelles déclarations publiques, et la situation reste tendue. Les experts en cybersécurité appellent à une clarification des règles encadrant la divulgation des vulnérabilités, tandis que les utilisateurs de Windows sont exposés à plusieurs failles toujours non corrigées.