Depuis début avril 2026, la communauté de la cybersécurité est en émoi. Un chercheur anonyme, se faisant appeler Nightmare Eclipse (opérant également sous les alias Chaotic Eclipse et Dead Eclipse), a publié six failles zero-day affectant Windows sans divulgation préalable auprès de Microsoft.
Face à cette fuite massive, l’éditeur de Redmond a réagi par un billet de blog, menaçant le chercheur d’une enquête pénale.
Pourquoi Nightmare Eclipse a-t-il contourné Microsoft ?
Selon les publications sur son blog, le chercheur affirme avoir tenté de signaler ces vulnérabilités via le Microsoft Security Response Center (MSRC), le portail officiel dédié. Toutefois, il soutient que Microsoft lui a révoqué l’accès au portail avant toute publication, le privant ainsi de tout moyen de communication officiel avec l’entreprise. Microsoft, pour sa part, n’a pas commenté ces allégations.
Détail des failles zero-day publiées
Entre le 3 avril et le 17 mai 2026, six exploits fonctionnels ont été diffusés sur GitHub et GitLab (depuis supprimés) :
• BlueHammer (CVE-2026-33825) & RedSun (CVE-2026-41091) : Permettent une élévation de privilèges (droits SYSTEM) via Microsoft Defender.
• UnDefend (CVE-2026-45498) : Empêche les mises à jour des définitions antivirus, rendant Defender inopérant face aux nouvelles menaces.
• YellowKey (CVE-2026-45585) : Permet de contourner BitLocker (sans code PIN ni identifiant) via une clé USB modifiée et un redémarrage.
Note : Microsoft a déployé un correctif pour BlueHammer lors du « Patch Tuesday » d’avril. RedSun, UnDefend, YellowKey et GreenPlasma demeurent, à ce jour, sans correctif officiel.
Des intrusions réelles constatées
Le danger est bien concret. Selon Huntress Labs, des attaques exploitant BlueHammer ont été observées dès le 10 avril. La CISA (agence américaine de cybersécurité) a rapidement intégré cette faille à son catalogue des vulnérabilités activement exploitées.
Tensions entre Microsoft et la communauté de chercheurs
Dans son billet de blog, Microsoft a vivement critiqué Nightmare Eclipse pour son manque de coordination, évoquant l’intervention de sa Digital Crimes Unit (DCU) pour d’éventuelles poursuites.
Cette posture inquiète les experts du secteur. Katie Moussouris, fondatrice de Luta Security et pionnière du programme bug bounty de Microsoft, a souligné dans TechCrunch que menacer les chercheurs de poursuites pénales risque de décourager la divulgation responsable de vulnérabilités.
Contexte : une réforme du programme bug bounty
Cette confrontation survient alors que Microsoft modifie, en juillet 2026, ses règles de rémunération. Le système de classement par points est remplacé par un modèle fondé sur les primes financières, une transition qui a pu créer des zones d’ombre lors du signalement des failles.
Des failles déjà connues ?
L’analyse de Barracuda Networks souligne un point critique : l’exploit MiniPlasma ciblerait une vulnérabilité identifiée par Google Project Zero en 2020, dont le correctif n’aurait jamais été déployé sur Windows 11.
Sur les réseaux sociaux, des voix influentes comme le chercheur Kevin Beaumont ou le collectif vx-underground ont vivement critiqué la gestion du MSRC, pointant du doigt de nombreux signalements restés sans réponse.
