Microsoft est récemment sous le feu des critiques pour ses menaces juridiques à l’encontre des chercheurs qui divulguent des vulnérabilités zero-day sans notification préalable. Le problème se concentre autour d’un chercheur, connu sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse, qui a révélé des détails et des exploits de preuve de concept pour plusieurs vulnérabilités non corrigées dans les produits Microsoft. Un désaccord lors du processus de divulgation a conduit le chercheur à publier ces vulnérabilités, parmi lesquelles RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma et MiniPlasma. Ces vulnérabilités permettent principalement une élévation de privilèges, YellowKey contournant la protection BitLocker et UnDefend affectant Microsoft Defender.
Microsoft a commencé à déployer des correctifs, mais certaines vulnérabilités comme BlueHammer, RedSun et UnDefend ont déjà été exploitées. Le chercheur a accusé Microsoft d’ignorer ses communications et de le diffamer, tandis que Microsoft a critiqué le chercheur pour avoir exposé ses clients à des risques. L’entreprise a désactivé les comptes du chercheur sur ses plateformes et a souligné l’importance des divulgations coordonnées pour protéger ses clients.
La réaction de la communauté de la cybersécurité a poussé Microsoft à clarifier sa position, affirmant qu’elle n’a pas l’intention d’engager des poursuites contre les chercheurs menant des recherches en sécurité, sauf en cas d’activité malveillante causant des dommages. Microsoft a exprimé son engagement envers une relation constructive avec la communauté de la sécurité, reconnaissant les malentendus potentiels et mettant l’accent sur le respect et le professionnalisme. Malgré les clarifications de Microsoft, Nightmare Eclipse a suggéré qu’une action en justice avait bien été engagée contre lui et a annoncé son intention de publier prochainement un contournement complet de BitLocker.
