Microsoft menace d'actions en justice après qu'un chercheur publie des failles non corrigées avec du code d'exploitation
Microsoft sous le feu des critiques pour un différend lié à une divulgation
Microsoft est critiqué après avoir averti qu'il pourrait engager des poursuites judiciaires et faire appel aux forces de l'ordre contre un chercheur en sécurité qui a rendu publiques une série de vulnérabilités non corrigées dans ses produits, accompagnées de code d'exploitation proof-of-concept.
Dans un billet de blog publié mercredi, la société a critiqué le chercheur, qui utilise le pseudonyme “Nightmare Eclipse”, pour avoir publié des détails sur des bugs qui, selon elle, affectaient des produits tels que Windows Defender et BitLocker. Microsoft a déclaré que la divulgation n'était pas “responsable” parce que les failles n'avaient pas été corrigées avant la mise à disposition publique des informations.
La réaction de la société a ravivé un débat de longue date sur la façon dont les chercheurs en sécurité devraient traiter les vulnérabilités dans les grandes plateformes logicielles, en particulier lorsque les failles affectent des outils largement utilisés provenant d'une entreprise disposant des ressources de Microsoft.
Microsoft a déclaré que certaines des vulnérabilités divulguées par Nightmare Eclipse ont depuis été exploitées par des hackers dans des attaques réelles, selon la société et l'agence américaine de cybersécurité CISA. Elle a également indiqué que sa Digital Crimes Unit continuerait de poursuivre les affaires contre ceux qu'elle estime contribuer à une activité criminelle, notamment en coordination avec les forces de l'ordre.
Nightmare Eclipse, dans une série de billets de blog publiés ces dernières semaines, affirme avoir été en contact avec Microsoft et déclare que la société les a mal traités. Le chercheur a allégué que Microsoft a révoqué l'accès à leur compte du Microsoft Security Response Center, le portail que les chercheurs utilisent pour signaler des vulnérabilités. Cela, a suggéré le chercheur, aurait laissé la divulgation publique comme seule option.
Les bugs ont ensuite été publiés sur des dépôts open source, où ils étaient accompagnés de code destiné à démontrer comment ils pouvaient être exploités. Une fois divulguées sans correctifs en place, les failles sont devenues des zero-days — des vulnérabilités inconnues du fabricant du logiciel au moment de la divulgation ou de l'exploitation.
La critique de Microsoft repose sur l'argument selon lequel le chercheur aurait dû signaler les bugs en privé en premier lieu. La position du chercheur, telle que présentée dans les billets de blog, est que la façon dont Microsoft a géré la situation ne leur a laissé aucun chemin significatif vers une divulgation responsable. Le différend place désormais le processus de réponse à la sécurité de Microsoft sous surveillance, tout en soulevant de nouvelles questions sur la limite entre la recherche d'intérêt public et un comportement pouvant aider les attaquants.
Sources:
Naviguez en privé avec Doppler VPN — sans journalisation, connexion en un clic.