Microsoft est vivement critiqué pour avoir menacé un chercheur en sécurité d'une enquête criminelle suite à la divulgation publique de plusieurs failles non corrigées dans ses produits. Cet incident ravive le débat de longue date sur les responsabilités des chercheurs en sécurité face aux géants technologiques. Le 13 mai 2024, Microsoft a publié un article de blog accusant le chercheur surnommé "Nightmare Eclipse" d'avoir rendu publics des vulnérabilités critiques, dont BlueHammer, RedSun, UnDefend et YellowKey, qui affectaient des outils comme Defender et BitLocker. Selon la firme, le chercheur n'a pas tenté de signaler ces failles via les canaux officiels pour permettre une correction avant divulgation, une pratique que Microsoft qualifie de "responsable". La société soutient qu'en publiant les détails techniques et le code d'exploitation sans attendre un correctif, le chercheur a potentiellement aidé des pirates malveillants. Microsoft affirme que certaines de ces failles ont déjà été utilisées dans des attaques réelles, une allégation soutenue par l'agence américaine CISA. En réponse, l'unité numérique de la firme a menacé de poursuivre judiciairement les acteurs impliqués, en coordonnant ses actions avec les forces de l'ordre mondiales. Du côté du chercheur, les publications récentes indiquent que des contacts ont eu lieu avec Microsoft, mais que ce dernier aurait maltraité le groupe en lui révoquant l'accès à son portail de signalement, le Microsoft Security Response Center. Selon "Nightmare Eclipse", cette absence de coopération l'a contraint à publier les failles, les transformant en "zero-days", c'est-à-dire des vulnérabilités inconnues du fabricant au moment de leur exploitation. Les comptes du chercheur sur GitHub et GitLab, des plateformes possédées par Microsoft, ont été bannis. Cette dispute publique a suscité l'indignation de nombreux experts en cybersécurité, qui craignent un effet dissuasif sur la communauté. Ils soulignent que la menace de poursuites pénales contre des chercheurs est excessive et risque de détruire la confiance nécessaire à la sécurité collective. Katie Moussouris, ancienne employée de Microsoft et pionnière des programmes de primes pour bogues (bug bounties), a vivement critiqué l'usage du terme "divulgation responsable" et la menace de poursuite. Elle estime que cela pourrait entraîner une baisse des signalements de failles, rendant tous les systèmes moins sécurisés. Kevin Beaumont, autre ancien employé de la firme, a qualifié la position de Microsoft de catastrophe auto-infligée, notant que la création de preuves de concept pour des failles non corrigées ne devrait pas être criminalisée automatiquement. Le débat met en lumière la tension entre la protection des droits des entreprises et la nécessité de garantir une correction rapide des vulnérabilités. Bien que la pratique du paiement des chercheurs pour leurs découvertes soit désormais largement acceptée, les conditions de signalement et la réponse des entreprises restent des sujets de friction majeurs. Cet incident rappelle que la collaboration entre les chercheurs indépendants et les grandes entreprises technologiques reste fragile, nécessitant une approche plus transparente pour préserver la sécurité globale des logiciels.