Introduction
Microsoft est actuellement au centre d'une controverse liée à sa gestion des exploits de zero-day. Un individu connu sous le pseudonyme de Nightmare Eclipse a été en conflit public avec l'entreprise, publiant du code d'exploit de preuve de concept. Certains de ses messages suggèrent qu'il pourrait s'agir d'un ancien employé mécontent.
Contexte Technique
La situation a attiré l'attention du chercheur en cybersécurité Kevin Beaumont, qui a remarqué la manière dont Microsoft a réagi face à ces divulgations. La société menace de prendre des mesures légales contre Nightmare Eclipse pour ne pas avoir suivi une « coordination appropriée » dans la divulgation des vulnérabilités. De plus, Microsoft a désactivé les comptes de Nightmare Eclipse sur GitHub, GitLab et le Microsoft Security Response Center.
Analyse et Implications
Ce qui inquiète Beaumont, c'est que Microsoft a embauché des personnes ayant commis des actes similaires dans le passé, y compris la publication d'exploits de zero-day, et dans certains cas, ayant des antécédents de condamnations pour hacking. Microsoft a également acheté des exploits à des courtiers. Cette approche soulève des questions sur la cohérence de la position de Microsoft concernant la divulgation responsable des vulnérabilités.
Perspective
Beaumont souligne que si Microsoft tente de criminaliser le non-respect des cadres de divulgation responsable, souvent arbitraires, l'entreprise pourrait rencontrer des difficultés à défendre cette position en justice. En effet, il existe un historique de décisions internes à Microsoft qui pourraient être révélées au cours d'un tel processus, mettant en lumière les contradictions dans la politique de l'entreprise.
