Microsoft menace de poursuites le chercheur 'Nightmare Eclipse' pour divulgation d'exploits
Microsoft envisage de poursuivre pénalement un chercheur en sécurité s'identifiant comme 'Nightmare Eclipse', une évolution rapportée par The Verge. La décision de Microsoft a été déclenchée par la divulgation publique persistante par le chercheur de codes d'exploitation de type preuve de concept. Cela a ouvert un débat critique dans le secteur mondial de la cybersécurité qui interroge les limites des protocoles de divulgation responsable.
Nightmare Eclipse est un chercheur d'identité inconnue particulièrement actif sur les réseaux sociaux. Selon le récit de The Verge, au cours des six derniers mois il a divulgué publiquement sur les réseaux sociaux cinq vulnérabilités zero-day distinctes touchant Windows et Microsoft 365. Certaines des vulnérabilités n'avaient pas encore été corrigées par le programme officiel de divulgation responsable de Microsoft, le Microsoft Security Response Center (MSRC). Certaines des publications du chercheur sur les réseaux sociaux incluent également du contenu suggérant qu'il pourrait être un ancien employé de Microsoft.
Dans sa déclaration écrite à The Verge, Microsoft a indiqué que 'les informations publiées publiquement par Nightmare Eclipse fournissent aux auteurs de logiciels malveillants une feuille de route d'attaque qui nuit à des millions d'utilisateurs Windows'. Le porte-parole de l'entreprise a confirmé que Microsoft envisage 'une poursuite pénale au titre du Computer Fraud and Abuse Act (CFAA)' parmi les options possibles. Microsoft a également annoncé avoir suspendu les comptes GitHub, GitLab et MSRC du chercheur.
La réflexion de Microsoft sur une action en justice a déclenché de vives réactions dans le secteur. Selon The Verge, le chercheur en sécurité Kevin Beaumont a critiqué l'approche de l'entreprise en disant que 'Microsoft dirige vers les chercheurs qui les ont divulguées la pression qu'elle subit pour avoir échoué à corriger ces vulnérabilités à temps'. Beaumont a noté que trois des cinq zero-days divulgués par Nightmare Eclipse ne sont toujours pas corrigés.
Le débat sur la divulgation responsable est devenu l'un des sujets les plus sensibles de la cybersécurité au cours de la dernière décennie. La pratique traditionnelle veut que les chercheurs signalent d'abord les vulnérabilités à l'entreprise concernée et que l'entreprise prépare un correctif dans un délai raisonnable (couramment 90 jours). Cependant, si les entreprises n'agissent pas dans ce délai, les chercheurs peuvent choisir de divulguer publiquement la vulnérabilité; cela se fait à la fois pour avertir les utilisateurs finaux et pour exercer une pression historique sur l'entreprise.
Selon l'analyse sectorielle rapportée par The Verge, la position de Microsoft contre Nightmare Eclipse signifie quelque chose de différent du protocole traditionnel de divulgation responsable. L'entreprise n'a pas fait de déclaration définitive sur le point de savoir si le chercheur l'avait d'abord informée. L'ancienne ingénieure en sécurité de Microsoft Tarah Wheeler a déclaré à The Verge que 'les pratiques générales du secteur sont favorables aux chercheurs; toutefois, ces dernières années, les grandes entreprises ont commencé à durcir cette pratique'.
Les organisations de défense des droits numériques telles que l'Electronic Frontier Foundation (EFF) et le Center for Democracy and Technology (CDT) ont pris position de manière critique contre l'action de Microsoft. La conseillère principale en politique de sécurité d'EFF, Eva Galperin, a déclaré à The Verge que 'la divulgation responsable cesse d'être un principe véritablement égalitaire — les grandes entreprises passent du fait de considérer les chercheurs comme acceptables à les positionner comme des menaces'. EFF a indiqué que l'affaire Nightmare Eclipse pourrait dans les semaines à venir devenir une affaire-test pour laquelle EFF Legal apportera des conseils.
Du point de vue de Microsoft, le budget annuel de cybersécurité de l'entreprise est estimé à environ 4 milliards de dollars. Selon The Verge, l'entreprise consacre une part importante de ce budget à la recherche en sécurité menée en coordination avec des tiers. Le programme bug bounty du MSRC reçoit chaque année environ 13 000 rapports de sécurité d'environ 500 chercheurs; pour environ 100 de ces rapports, des récompenses supérieures à 50 000 dollars sont versées. L'affaire Nightmare Eclipse sort de ce processus standard, ce qui pousse Microsoft à rechercher la voie judiciaire.
Les commentaires d'autres grandes entreprises technologiques ont adopté une posture équilibrée. Maddie Stone, ancienne ingénieure en sécurité de Google, a déclaré à The Verge que 'lorsque la divulgation responsable n'est pas appliquée, il est possible de trouver des acteurs malveillants exerçant une pression extraordinaire pour que les vulnérabilités soient corrigées. Mais l'action en justice est un seuil qu'il convient de ne pas franchir'. Apple aurait engagé en 2024 une procédure judiciaire pour un cas similaire avant de la retirer.
Cet article ne constitue pas un avis juridique ni un conseil en cybersécurité. Les chercheurs en sécurité doivent consulter leurs propres conseillers juridiques au sujet des décisions de divulgation publique. La question de savoir si Microsoft lancera une procédure judiciaire dans les semaines à venir constituera un précédent critique pour le secteur. La couverture de The Verge souligne que les organisations de défense des droits numériques et les analystes du secteur suivent de près l'évolution et que cette affaire pourrait constituer un point de test important pour l'avenir des politiques de divulgation responsable.