Ils opposent le principe « ne dites pas aux attaquants ce qu’ils ne savent pas » à la lenteur du temps de réponse après la divulgation par de nombreux fournisseurs.
Microsoft et un éminent chercheur en cybersécurité ont eu un échange très public et plutôt personnel de désagréments sur ce que devraient signifier les divulgations responsables en matière de cybersécurité en 2026.
Un chercheur en cybersécurité du nom de Nightmare Eclipse, qui a révélé plusieurs failles de cybersécurité avant que les correctifs ne soient disponibles, a déclaré qu’il avait tenté de contacter les responsables de Microsoft et avait été repoussé, ce qui l’a amené à publier des détails sur les bogues.
« Quand je vous ai demandé activement (Microsoft) de communiquer avec moi, vous avez refusé, vous m’avez humilié et vous avez veillé à m’insulter devant les gens. Vous m’avez diffamé en public avec votre avis CVE-2026-45585 même si vous avez littéralement supprimé le compte Microsoft avec lequel je vous signalais des bugs et que je n’ai reçu aucun centime en le faisant et j’ai toujours été heureux comme un idiot », a posté le chercheur, ajoutant que Microsoft a maintenant supprimé son compte GitHub. « Vous prouvez à tout le monde que vous aggravez activement ce conflit, mais j’ai fini de vous en supplier. »
Le chercheur a alors proféré une menace énigmatique : « Notez cette date le 14 juillet, je ferai en sorte que vos os soient brisés ce jour-là. »
Dans un autre article, le chercheur a été encore plus direct : « (Microsoft) m’a dit personnellement qu’ils allaient ruiner ma vie et ils l’ont fait », ajoutant que Microsoft « ferait tout sauf soutenir la communauté des chercheurs, je ne divulguerai pas de détails, mais ils sabotent beaucoup les gens ».
Microsoft a répondu dans son propre message en disant que certaines des vulnérabilités révélées par le chercheur « n’ont pas été divulguées de manière responsable » et qu’il y avait un « risque inutile créé par ces divulgations », ajoutant que « les divulgations non coordonnées qui mettent le code de preuve de concept pour des vulnérabilités non corrigées entre les mains de mauvais acteurs ne sont jamais justifiables et ont des conséquences réelles ».
Ce fut ensuite au tour de Microsoft de se montrer personnel, sous-entendant voilée que le chercheur a mauvaise réputation. « Nous avons toujours accueilli et continuerons d’accepter les soumissions de vulnérabilités de toute personne via notre portail public de chercheurs, quelles que soient les interactions passées ou la réputation », indique le message.
Cependant, un haut responsable de la sécurité de Microsoft a publié un message légèrement plus optimiste, suggérant que l’entreprise devra peut-être désormais repenser la façon dont elle gère les rapports de bogues de cybersécurité.
« Pour le moment, nous ne modifions pas notre barre de bogues ni les critères que nous utilisons pour décider quand un correctif est nécessaire, même si nous continuerons à évaluer à mesure que les conditions évoluent. La gravité continue d’être fondée sur l’impact et l’exploitabilité du monde réel, en s’appuyant sur l’ensemble complet des signaux du Guide de mise à jour de sécurité », a écrit Tom Gallagher, vice-président de l’ingénierie au Microsoft Security Response Center (MSRC).
« Nous continuerons à nous ancrer sur un rythme prévisible et un processus discipliné, tout en nous adaptant si nécessaire aux conditions qui nous attendent », a-t-il déclaré. « Ce que nous encourageons en retour, c’est une réflexion approfondie pour déterminer si les pratiques qui ont bien fonctionné pour le paysage des correctifs d’il y a quelques années sont toujours bien adaptées à la direction que prend le paysage. Les fondamentaux n’ont pas changé. Le rythme auquel ils doivent être appliqués évolue. »
Frustration des deux côtés
L’un des problèmes derrière le débat sur les politiques de divulgation en matière de cybersécurité est que de nombreux chercheurs estiment que leurs divulgations sont souvent ignorées ou que la mise à jour des correctifs est déraisonnablement retardée par les principaux fournisseurs, dont Microsoft.
À la frustration des chercheurs s’ajoute le fait que les fournisseurs ne communiquent souvent pas bien sur la situation en cas de problème de sécurité signalé.
Mais les fournisseurs ont leur propre reproche : ils ne peuvent pas remédier rapidement à chacune des nombreuses failles qui leur sont signalées, compte tenu des ressources limitées, et ils doivent prioriser ce qu’ils corrigent.
Un problème connexe est la conviction que les principaux fournisseurs, y compris Microsoft, donneront rapidement la priorité aux correctifs une fois que la faille sera rendue publique ; un exemple était la faille Microsoft Authenticator, dont Microsoft était au courant depuis huit ans avant de la corriger après sa publication.
Les deux côtés ont peut-être raison
Les consultants et les responsables de la cybersécurité ont déclaré que les deux parties faisaient valoir de bons arguments dans cette affaire.
« Microsoft a raison de dire que les livraisons Zero Day non coordonnées créent un risque réel et immédiat pour les clients, et les chercheurs ont raison de dire que les fournisseurs ne bougent parfois que lorsqu’ils sont poussés », a déclaré Brian Levine, consultant en cybersécurité et directeur exécutif de FormerGov. « Les deux vérités peuvent exister en même temps. »
Et Flavio Villanustre, RSSI du LexisNexis Risk Solutions Group, a ajouté : « Le cri du chercheur en sécurité donne l’impression qu’il se passe quelque chose de vindicatif. Si le chercheur estime que (Microsoft) a agi de manière contraire à l’éthique ou illégalement et a des preuves à cet égard, il pourrait porter plainte auprès des autorités compétentes, plutôt que d’écrire un article de blog. Je suis enclin à croire davantage Microsoft dans cette affaire. »
Gary Longsine, PDG d’Intrinsic Security, s’est également opposé à Nightmare Eclipse, se demandant s’ils fonctionnaient comme un chercheur objectif en matière de sécurité.
« Cette personne pourrait avoir une sorte de grief légitime contre Microsoft, cependant, les chercheurs légitimes en sécurité ne font pas les choses de cette façon », a-t-il déclaré. « Je ne fais pas de choses qui causent des dommages à des milliards de passants innocents, en guise de représailles pour le moindre affront que je peux percevoir. Il s’agit d’un attaquant, d’un adversaire, pas d’un chercheur en sécurité. »
Érosion de la confiance
En outre, Ishraq Khan, PDG du fournisseur d’outils de productivité de codage Kodezi, a déclaré qu’il était préoccupé par les éléments émotionnels de l’échange entre le chercheur et Microsoft, car ils érodent la confiance, et cette érosion est potentiellement le plus grand danger.
« Le chercheur semble croire que la relation a échoué bien avant les révélations. En lisant les publications publiques, le thème récurrent n’est pas simplement la recherche de vulnérabilité, mais la frustration concernant la communication, la confiance et l’accès au processus de divulgation », a déclaré Khan. « Que ces affirmations soient exactes ou non, le chercheur croit clairement que les chaînes privées ont cessé de fonctionner et que l’escalade était la seule option restante. »
Et cette érosion de la confiance, selon Khan, est un problème crucial, car l’IA, en particulier les agents autonomes, va nécessiter beaucoup plus de confiance entre les fournisseurs et les chercheurs.
« L’industrie entre dans une nouvelle ère de découverte de vulnérabilités. Nous voyons des systèmes d’IA de plus en plus performants découvrir des bugs, identifier des voies d’attaque et aider les chercheurs d’une manière qui n’était pas possible il y a quelques années. Le volume de vulnérabilités découvertes augmente tandis que le temps entre la découverte et l’exploitation potentielle diminue », a déclaré Khan. « Cela change la dynamique de la divulgation. Historiquement, les chercheurs et les fournisseurs fonctionnaient selon un calendrier mesuré en mois. Aujourd’hui, les découvertes peuvent se propager à l’échelle mondiale en quelques heures. Une rupture de confiance qui aurait pu autrefois affecter une poignée de personnes peut désormais affecter des écosystèmes entiers. «
Il a ajouté : « La réalité est que la divulgation responsable ne fonctionne que lorsque les deux parties croient que le système fonctionne. Les chercheurs doivent avoir l’assurance que les résultats seront pris au sérieux. Les fournisseurs ont besoin d’être sûrs que les chercheurs leur donneront suffisamment de temps pour protéger les clients. Une fois que l’une ou l’autre des parties perd confiance dans ce processus, le modèle tout entier devient fragile. »
« Ce qui m’inquiète, c’est que ces différends semblent devenir plus publics, plus conflictuels et plus personnels. Une fois que les discussions sur la sécurité passent des faits techniques aux questions d’intention, de réputation et de motivation, la protection des clients risque de devenir secondaire par rapport au conflit lui-même. »
