Trois zero-days Defender publiés en 15 jours par un chercheur indépendant. Le modèle de divulgation responsable craque, et les éditeurs récoltent ce qu'ils ont semé. Analyse.
Trois zero-days Microsoft Defender lâchés dans la nature en quinze jours. Pas par un groupe APT, pas par un courtier d'exploits — par un chercheur indépendant qui a fini par claquer la porte. Ce n'est pas un cas isolé, c'est un signal. Et il dit que le modèle de divulgation responsable, tel qu'on l'a connu pendant vingt ans, est en train de craquer.
Le contrat moral est devenu un contrat léonin
Le deal historique entre chercheurs et éditeurs tenait sur trois engagements implicites : tu nous remontes la faille, on la corrige dans un délai raisonnable, on te crédite. C'était simple, c'était sain. Aujourd'hui, sur le terrain, la pratique a dérivé. Les tickets MSRC qui se ferment "by design" alors que la preuve d'exploitation existe. Les bug bounties requalifiés à la baisse au moment du paiement. Les patches publiés sans crédit, ou avec un crédit générique du type "external researcher" pour minimiser la visibilité.
Le résultat est mécanique : un chercheur qui passe trois mois à fouiller un binaire et à écrire un PoC propre n'accepte plus qu'on lui réponde "merci, c'est noté" suivi d'un silence radio de neuf mois. Il publie. C'est moralement contestable, c'est pragmatiquement compréhensible.
Les éditeurs ont créé l'incitation à publier
Microsoft, pour ne citer que lui, a multiplié les frictions ces deux dernières années. Le programme MSRC est devenu un guichet où la décision de payer ou non est opaque. Les délais entre soumission et accusé de réception se sont allongés. Les critères de gravité sont régulièrement revus à la baisse au moment du triage, ce qui réduit la prime — et accessoirement la priorité de patch.
En face, les courtiers d'exploits offrent des montants en croissance constante : un zero-day Defender SYSTEM se monnaye sans difficulté à six chiffres sur un marché gris parfaitement organisé. Quand un éditeur paie 10 000 dollars pour une faille équivalente et qu'un courtier en propose 250 000, le chercheur a une décision économique à prendre. Publier en pression publique, c'est encore l'option la moins lucrative — mais c'est celle qui garde la conscience tranquille.
Le RSSI doit penser comme un chercheur
Concrètement, ce déplacement de la divulgation a deux conséquences pour les défenseurs. D'abord, la fenêtre entre publication et exploitation de masse se rétrécit drastiquement : on parle désormais de jours, parfois d'heures, là où on disposait de semaines il y a cinq ans. Ensuite, et c'est plus subtil, les patches ne couvrent plus l'ensemble du risque connu. Quand RedSun est publié sans correctif, votre Patch Tuesday devient mécaniquement insuffisant.
La conséquence opérationnelle est claire : la posture de détection doit primer sur la posture de remédiation. Surveiller les comportements anormaux — un MsMpEng.exe qui spawne un cmd.exe, un service qui écrit hors de son arborescence — devient plus rentable que la course aux patches. C'est un changement culturel pour beaucoup d'équipes qui ont structuré leur SOC autour des CVE.
Mon avis d'expert
Les éditeurs récoltent ce qu'ils sèment. Tant que Microsoft, Apple ou Google traitent les chercheurs comme des prestataires gratuits dont la valeur ajoutée est facultative, ils continueront à se prendre des PoC publics dans la figure. La divulgation responsable n'est pas un droit acquis, c'est un équilibre. Cassez-le côté éditeur, il casse aussi côté chercheur. Et c'est nous, les défenseurs, qui ramassons.
Conclusion
Les trois zero-days Defender d'avril 2026 ne sont pas un accident. Ils sont l'aboutissement logique d'une décennie de dégradation des relations chercheurs/éditeurs. Les RSSI doivent intégrer cette nouvelle donne dans leur modélisation de risque : compter sur le calendrier de patch d'un éditeur ne suffit plus. Il faut compter sur sa propre capacité de détection, son hygiène d'accès et la résilience de son architecture face à une élévation locale.
Besoin d'un regard expert sur votre posture de détection ?
Discutons de votre contexte : SOC, EDR, journalisation. Une heure d'échange suffit souvent à identifier les angles morts.
Prendre contactTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Vos endpoints d'observabilité sont vos prochaines backdoors
Les endpoints d'observabilité (/actuator, /metrics, /api-docs) sont devenus les nouvelles backdoors. Pourquoi le patch ne suffit pas et que faire concrètement.
Macros Office en 2026 : votre angle mort favori pour APT28
Les macros Office restent en 2026 le vecteur préféré d'APT28. Pourquoi ? Exceptions GPO mal gérées, MOTW perdu, COM hijacking invisible. Analyse terrain.
Quand l'éditeur de sécurité devient le cheval de Troie
Checkmarx, Bitwarden, Defender : les éditeurs de sécurité enchaînent les compromissions en 2026. Analyse de la dépendance opérationnelle qui rend leurs clients vulnérables.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire