Un chercheur en sécurité informatique, mécontent de sa relation avec Microsoft, a choisi de divulguer publiquement plusieurs vulnérabilités affectant le système d'exploitation Windows. Les failles, rendues accessibles sur la plateforme GitHub, concerneraient les versions 10 et 11 de Windows, ainsi que Windows Server 2022 et 2025.
Selon les informations disponibles, les vulnérabilités sont de type « zero-day », ce qui signifie qu'aucun correctif officiel n'a encore été publié par Microsoft. L'une d'entre elles, identifiée comme particulièrement préoccupante, permettrait à un attaquant d'élever ses privilèges jusqu'au niveau système le plus élevé, un accès souvent désigné par le terme « NT AUTHORITY\SYSTEM ». En clair, un pirate disposant d'un accès initial limité à une machine pourrait prendre le contrôle total de celle-ci.
Un conflit personnel à l'origine de la divulgation
Le chercheur, qui exerce sous le pseudonyme « RoguePlanet », explique son geste par un sentiment d'humiliation. Il affirme avoir signalé ces failles à Microsoft il y a plusieurs mois, via le programme de bug bounty (chasse aux bugs) de l'entreprise. Mais, selon son récit, l'éditeur aurait refusé de prendre ses rapports au sérieux, les jugeant insuffisamment documentés ou non valides. « Vous m'avez humilié », aurait-il écrit dans le message accompagnant la publication, estimant que sa patience était à bout.
En réaction à ce qu'il perçoit comme un mépris de la part de Microsoft, RoguePlanet a publié le code source permettant d'exploiter ces vulnérabilités. Il a également partagé des explications techniques détaillées, rendant leur utilisation potentielle accessible à d'autres acteurs malveillants.
Des réactions contrastées dans la communauté
La divulgation publique de failles non corrigées est une pratique controversée dans le monde de la cybersécurité. Certains experts estiment qu'elle met inutilement en danger les utilisateurs en donnant aux pirates une longueur d'avance. D'autres considèrent qu'elle constitue un moyen de pression légitime sur les éditeurs lorsqu'ils tardent à corriger des problèmes qu'ils ont pourtant été informés.
Le timing de cette publication est également jugé « cruel » par des observateurs, car il survient juste après la livraison par Microsoft de son lot de correctifs mensuels de juin. Les administrateurs systèmes, qui viennent de déployer ces mises à jour, doivent désormais faire face à de nouvelles menaces pour lesquelles aucun correctif n'existe encore.
Microsoft et la gestion des vulnérabilités
Microsoft n'a pas encore officiellement commenté cette divulgation. L'entreprise dispose depuis plusieurs années d'un programme de bug bounty qui récompense les chercheurs signalant des failles de manière responsable. Cependant, des tensions entre la firme et certains experts ont déjà éclaté par le passé, lorsque des rapports ont été jugés irrecevables ou insuffisamment rémunérés.
Dans l'attente d'un correctif, les utilisateurs de Windows, en particulier les professionnels de l'informatique gérant des serveurs, sont invités à redoubler de vigilance. Les experts recommandent de surveiller les accès inhabituels et de limiter au maximum les privilèges accordés aux comptes utilisateurs, afin de réduire la surface d'attaque.
Des précédents dans l'histoire de la sécurité informatique
Cette affaire rappelle d'autres cas de divulgation « sauvage » de failles, comme celles liées à des conflits entre des chercheurs et des entreprises technologiques. Les conséquences peuvent être graves : en 2017, une fuite massive d'outils de la NSA avait mené à la création de ransomwares dévastateurs comme WannaCry.
Pour l'heure, aucun incident majeur exploitant ces failles n'a été signalé. Mais les experts craignent que des groupes criminels ou des services de renseignement ne s'emparent rapidement de ces codes pour les intégrer à leurs arsenaux. La course contre la montre est lancée pour Microsoft, qui doit désormais produire un correctif dans les meilleurs délais.
