En bref

  • Microsoft a publié un billet de blog menaçant implicitement de poursuites pénales via son Digital Crimes Unit les chercheurs qui divulguent des zero-days Windows sans coordination préalable.
  • Le conflit cible principalement le chercheur Nightmare Eclipse, auteur de six preuves de concept de zero-days entre avril et mai 2026, dont trois (BlueHammer, RedSun, UnDefend) ont été exploités en live peu après publication.
  • Des figures majeures de la sécurité comme Katie Moussouris dénoncent une stratégie d'intimidation dangereuse pour l'écosystème de la divulgation responsable.

Six zero-days publiés, trois exploités en live, une lettre de menace

Entre début avril et mi-mai 2026, un chercheur en sécurité opérant sous le pseudonyme Nightmare Eclipse a publié des preuves de concept (PoC) pour six vulnérabilités Windows non patchées, sans coordination préalable avec Microsoft. Trois de ces zero-days — BlueHammer, RedSun et UnDefend — ont été confirmés comme étant activement exploités en conditions réelles peu après leur divulgation publique, obligeant Microsoft à émettre des patches d'urgence et conduisant la CISA à les ajouter à son catalogue des vulnérabilités exploitées connues (KEV).

Face à cette série de publications non coordonnées, Microsoft a répondu par un billet de blog officiel qualifiant les divulgations non coordonnées de jamais justifiables et mentionnant explicitement que son Digital Crimes Unit (DCU) continuerait à porter des affaires contre ces acteurs et ceux qui facilitent leurs activités criminelles, en se coordonnant avec les forces de l'ordre du monde entier selon les besoins. La formulation associant la divulgation de vulnérabilités à la notion d'activité criminelle et la mention du DCU ont immédiatement déclenché une réaction virulente dans la communauté de la cybersécurité mondiale.

The Register a révélé les détails de l'escalade le 28 mai 2026, incluant des échanges dans lesquels un chercheur concerné déclarait ils vont ruiner ma vie. Windows Central, qui a publié un article de fond avec mises à jour successives, a documenté la menace directe reçue par Nightmare Eclipse : Microsoft aurait explicitement évoqué la possibilité d'engager son Digital Crimes Unit contre le chercheur pour ses publications de PoC. Nightmare Eclipse a répondu en annonçant publiquement sa ferme intention de publier d'autres exploits, escaladant le conflit sur la place publique.

TechCrunch a publié le 29 mai une analyse documentant la réaction en chaîne dans la communauté sécurité. Plusieurs chercheurs de premier plan ont dénoncé l'approche de Microsoft, estimant que menacer criminellement des chercheurs qui exposent des vulnérabilités non corrigées constitue un précédent extrêmement dangereux pour l'écosystème de la divulgation responsable (Coordinated Vulnerability Disclosure, CVD). The Record de Recorded Future News a titré : Microsoft calls zero-day releases never justifiable as researcher threatens to drop more.

Le contexte technique est essentiel pour comprendre la dynamique du conflit. Nightmare Eclipse a choisi la divulgation complète (full disclosure) sans délai de grâce ni coordination avec l'éditeur, une approche que de nombreux chercheurs considèrent légitime lorsque le vendor ne répond pas ou tarde excessivement à patcher. Si Microsoft n'a pas confirmé publiquement avoir été contacté au préalable, l'absence de réponse sur ce point entretient l'ambiguïté sur la nature exacte de la démarche — coordonnée et ignorée, ou purement unilatérale dès le départ.

Les trois vulnérabilités activement exploitées avant patch illustrent le dilemme central de la divulgation responsable. D'un côté, la publication de PoC sans patch disponible expose immédiatement des millions d'utilisateurs Windows à un risque concret et immédiat. De l'autre, retenir indéfiniment des informations sur des failles critiques prive les administrateurs système de la connaissance nécessaire pour mettre en place des mitigations temporaires. Ce débat fondamental structure la communauté de la sécurité offensive depuis les travaux pionniers et les premières controverses de Full Disclosure dans les années 2000.

Katie Moussouris, créatrice du premier programme de bug bounty chez Microsoft et figure respectée de la communauté internationale de la sécurité, a déclaré publiquement : Ajouter une menace de poursuites en mentionnant le Digital Crimes Unit était excessif et ne résultera qu'en une méfiance accrue des chercheurs en sécurité envers Microsoft. Cette prise de position d'une ancienne employée ayant contribué à structurer la politique de divulgation de Microsoft renforce le caractère particulièrement mal calibré de la communication officielle selon ses nombreux critiques.

Sur le plan procédural, Microsoft a depuis lors publié des patches d'urgence pour les six vulnérabilités concernées. Certains d'entre eux, notamment les correctifs pour RedSun et UnDefend visant Microsoft Defender, ont fait l'objet d'une couverture séparée dans ce site. La résolution technique ne règle cependant pas la question de principe soulevée par la menace judiciaire, qui continue d'alimenter des débats dans les forums spécialisés, les listes Full Disclosure et les conférences sécurité à venir comme DEF CON et Black Hat 2026.

La divulgation responsable à l'épreuve du bras de fer Microsoft

La controverse autour du Digital Crimes Unit s'inscrit dans un débat qui structure la communauté cybersécurité depuis les années 2000. La politique de divulgation coordonnée (CVD) — qui prévoit que le chercheur notifie l'éditeur et lui accorde un délai raisonnable avant divulgation publique — est considérée comme la norme de fait, portée notamment par Google Project Zero avec sa règle des 90 jours. Microsoft lui-même a contribué à institutionnaliser cette pratique en développant son MSRC (Microsoft Security Response Center) et des programmes de bug bounties parmi les plus généreux de l'industrie. Menacer pénalement des chercheurs représente donc un virage potentiellement destructeur par rapport à vingt ans de construction patiente de cette relation de confiance.

Le précédent le plus souvent cité par les commentateurs est l'utilisation du Computer Fraud and Abuse Act (CFAA) américain contre des chercheurs en sécurité dans les années 2010-2020. Dans tous ces cas, la communauté a massivement dénoncé l'utilisation d'instruments juridiques conçus pour lutter contre la criminalité informatique contre des acteurs dont l'objectif déclaré est d'améliorer la sécurité des systèmes. En France, le cadre légal a évolué positivement : les dispositions de la LOPMI et les orientations de l'ANSSI prévoient une protection encadrée pour les chercheurs qui notifient les vulnérabilités via les canaux officiels, sans accès non autorisé aux systèmes cibles.

La dimension stratégique de la posture de Microsoft ne doit pas être sous-estimée. En 2026, les failles zero-day Windows non patchées représentent un risque systémique pour des centaines de millions de systèmes critiques. La publication de PoC sans coordination accélère la pression sur l'éditeur pour patcher — certains chercheurs considèrent que c'est précisément l'objectif — mais expose simultanément les utilisateurs à des acteurs malveillants qui intègrent rapidement ces exploits dans leurs arsenaux. BlueHammer, RedSun et UnDefend ont été exploités en conditions réelles en quelques jours après publication, démontrant la rapidité avec laquelle ces informations se matérialisent en attaques concrètes sur des infrastructures réelles.

La réaction de Microsoft soulève une question de gouvernance plus profonde : dans un écosystème où la sécurité de centaines de millions de systèmes dépend de la qualité du patch management d'un unique éditeur dominant, quelle est la responsabilité de cet éditeur envers les chercheurs qui contribuent à identifier des vulnérabilités critiques ? Les programmes de bug bounty de Microsoft, parmi les plus généreux de l'industrie, n'ont manifestement pas suffi à prévenir ce type de divulgation non coordonnée. Cela interroge sur l'adéquation des incitations financières face à des motivations qui peuvent être idéologiques, de notoriété, ou de frustration face à des délais de patch jugés excessifs par la communauté.

Ce qu'il faut retenir

  • Microsoft a implicitement menacé de poursuites pénales les chercheurs divulguant des zero-days Windows sans coordination, créant un précédent controversé qui menace l'équilibre de l'écosystème CVD.
  • Trois des six zero-days publiés (BlueHammer, RedSun, UnDefend) ont été exploités en live avant patch ; les correctifs d'urgence ont été émis mais le débat sur la divulgation reste entier et s'intensifie.
  • Pour les RSSI, cette affaire rappelle l'importance de monitorer les canaux full-disclosure et de prioriser les patches hors cycle Patch Tuesday dès la publication de PoC publics pour des systèmes Windows critiques.

Microsoft peut-il réellement poursuivre pénalement un chercheur qui publie un PoC de zero-day ?

La réponse dépend fortement de la juridiction. Aux États-Unis, le CFAA a historiquement été utilisé comme outil de menace contre des chercheurs, même si les poursuites abouties restent rares. En Europe, les cadres légaux sont généralement plus protecteurs pour les chercheurs qui n'ont pas accédé illégalement aux systèmes et qui ont agi de bonne foi. Microsoft peut théoriquement saisir son DCU pour ouvrir des enquêtes et se coordonner avec des autorités, mais transformer une telle menace en condamnation effective d'un chercheur agissant sans accès non autorisé serait extrêmement difficile juridiquement et causerait un dommage réputationnel considérable à l'éditeur.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact