Il y a quelques jours, nous avons évoqué la facilité avec laquelle on peut contourner la sécurité de BitLocker à l’aide d’une simple clé USB. Microsoft n’a pas été impressionné par cette découverte et a banni le compte GitHub du chercheur ayant publié l’exploit. Cette décision a suscité la colère du chercheur, connu sous le pseudonyme Nightmare-Eclipse, qui a menacé de se venger de l’entreprise le 14 juillet 2026.
Critiques envers Microsoft et le programme MSRC
Sur son blog personnel, le chercheur affirme que Microsoft ne lui a offert aucune récompense financière. Il rappelle qu’autrefois, l’entreprise payait généreusement ceux qui découvraient des failles zero-day dans ses produits. Le programme Microsoft Security Response Center (MSRC) offre entre 15 000 $ et 250 000 $ pour la découverte de vulnérabilités. Avec six failles de sécurité sérieuses à son actif, Nightmare-Eclipse est extrêmement mécontent.
D’autres experts en cybersécurité comprennent sa frustration. William Dormann de Tharros affirme que le programme MSRC était excellent, mais que Microsoft a licencié des employés expérimentés pour économiser de l’argent, ne gardant qu’une équipe de « suiveurs de schémas ». Il n’est pas surpris par les actions de l’entreprise et pense que Nightmare-Eclipse n’a pas été pris au sérieux car il n’a pas fourni de preuve vidéo de l’exploit. Dans le même post, Dormann démontre que la faille est toujours exploitable.
Un palmarès d’exploits zero-day préoccupant
Le véritable problème pour Microsoft est que le chercheur mécontent ne se contente pas de menaces en l’air. Il possède un impressionnant palmarès d’exploits zero-day dangereux : BlueHammer accède aux fichiers système via Defender, tout comme RedSun. Un autre exploit nommé GreenPlasma permet d’accéder au système via un service appelé CTFMon, tandis que MiniPlasma utilise une faille dans le driver Windows Cloud Filter pour obtenir le même résultat. Ensuite, UnDefend perturbe et désactive le système antivirus de Windows, tandis que YellowKey contourne la sécurité BitLocker comme si elle n’existait pas. Il reste donc à voir ce qui se passera le 14 juillet, lorsque les menaces pourraient se concrétiser.
