Microsoft a récemment corrigé deux vulnérabilités de type zero-day, révélées par un chercheur en conflit avec l’entreprise. Ce dernier, connu sous le pseudonyme Nightmare Eclipse, accuse Microsoft de ne pas avoir respecté un accord sur la divulgation des failles.
Le mardi 10 octobre 2023, Microsoft a publié des correctifs pour deux vulnérabilités de haute gravité, connues sous le nom de zero-days, dévoilées par un chercheur au pseudonyme provocateur, Nightmare Eclipse. Ce dernier a récemment été en désaccord avec le géant technologique, ce qui a conduit à la publication de plusieurs failles critiques qui auraient pu être exploitées dans la nature. Ces vulnérabilités, qui sont des failles dans le logiciel de Microsoft, ont le potentiel d’affecter des millions d’utilisateurs dans le monde entier, mettant ainsi en avant l’importance cruciale de la cybersécurité. Nightmare Eclipse a révélé que la divulgation de ces vulnérabilités, accompagnée de codes de preuve de concept, a été motivée par le non-respect par Microsoft d’un accord préalable sur la gestion des failles. “Mais quelqu’un a violé notre accord et m’a laissé sans rien”, a-t-il écrit en mars, exprimant sa frustration face à la situation. Cela souligne la tension croissante entre les chercheurs en sécurité et les grandes entreprises, où la communication et la transparence sont essentielles. Les correctifs publiés par Microsoft visent à protéger les utilisateurs des menaces potentielles, mais ils relèvent également d’une réponse à une pression publique croissante pour la transparence en matière de sécurité informatique. Dans un monde où les cyberattaques deviennent de plus en plus fréquentes et sophistiquées, la gestion des vulnérabilités et la coopération entre les chercheurs et les entreprises sont essentielles pour garantir la sécurité des données. Cette affaire met en lumière les défis auxquels sont confrontés les chercheurs en sécurité lorsqu’ils travaillent avec des géants de la technologie, et souligne l’importance d’un dialogue constructif pour prévenir de telles situations à l’avenir. Microsoft, en corrigeant rapidement ces failles, montre sa volonté de réagir face aux menaces, mais cela ne résout pas les tensions sous-jacentes qui existent dans l’écosystème de la cybersécurité.