Microsoft Slams Public Zero-Day Disclosures Amid GitHub Researcher Account Removal

Tensions croissantes entre Microsoft et la communauté des chercheurs en cybersécurité

Microsoft exhorte la communauté des chercheurs à privilégier la divulgation coordonnée des vulnérabilités (CVD) après une série de publications publiques de failles “zero-day” par le chercheur “Chaotic Eclipse”. Ce dernier justifie sa démarche par un profond mécontentement lié à la gestion des signalements par Microsoft, affirmant avoir été ignoré, humilié et privé de ses comptes GitHub et Microsoft. Cette escalade a conduit à la suspension des comptes du chercheur sur plusieurs plateformes, alors même que certaines failles sont désormais exploitées activement.

Points clés :

• Conflit ouvert : Un désaccord majeur sur le processus de divulgation oppose le chercheur à Microsoft, accusant l’éditeur de mauvaise foi et de représailles.
• Risques réels : Microsoft souligne que la publication de preuves de concept (PoC) avant la disponibilité des correctifs expose directement les utilisateurs à des attaques.
• Escalade : La situation menace de s’aggraver, le chercheur ayant annoncé de futures révélations critiques pour le 14 juillet 2026.

Vulnérabilités identifiées :

• BlueHammer (CVE-2026-33825) - Exploitée activement.
• RedSun (CVE-2026-41091) - Exploitée activement.
• UnDefend (CVE-2026-45498) - Exploitée activement.
• YellowKey (CVE-2026-45585)
• GreenPlasma
• MiniPlasma

Recommandations :

• Pour les éditeurs : Maintenir des canaux de communication transparents et réactifs avec les chercheurs pour éviter les divulgations publiques prématurées.
• Pour les utilisateurs : Appliquer systématiquement les mises à jour de sécurité publiées par Microsoft afin de se protéger contre les exploits actifs liés aux vulnérabilités citées.
• Pour les chercheurs : Privilégier les protocoles de divulgation coordonnée (CVD) pour garantir le développement et le déploiement de correctifs avant toute publication technique.

Source