Ayant connu de nombreux chercheurs en cybersécurité à mon époque, je sais que Microsoft est une figure controversée.
Windows, le plus grand système d’exploitation au monde, est souvent piraté et exploité, tout comme le cloud Azure de Microsoft. Des pirates informatiques soutenus par la Russie ont piraté la couche 365 de Microsoft l’année dernière, y compris les comptes de responsables du gouvernement américain.
Pour lutter contre cela, Microsoft travaille avec des chercheurs en sécurité prolifiques et pas très bons, parfois appelés pirates informatiques, qui inspectent les couches de sécurité de Microsoft et signalent ensuite les problèmes. Microsoft a un programme de bug bounty À cette fin, les pirates informatiques éthiques peuvent signaler les exploits pour un gros salaire. Du moins en théorie.
Je le sais avec certitude grâce à mon expérience de travail avec les sources Xbox et Windows. être payé C’est plus difficile que ne le suggère la documentation de Microsoft. Je connais plusieurs chercheurs qui n’ont pas été équitablement rémunérés dans le passé, et je suppose que ce dernier drame tourne autour d’un utilisateur qui a peut-être été brûlé.
Le chercheur en sécurité Nightmare Eclipse a récemment fait une révélation publique en grande pompe. six failles de sécurité majeures Sous Windows et autres systèmes Microsoft. Généralement, ces types de bugs sont signalés directement à Microsoft afin que l’entreprise puisse les corriger, mais les précédents articles du blog d’Eclipse suggèrent qu’ils pourraient avoir été rendus publics en représailles.
“Normalement, je leur demanderais de corriger l’erreur.” éclipse a écrit (via PCMag), “Mais en résumé, j’ai personnellement dit qu’ils allaient gâcher ma vie, et je ne sais pas s’ils ont vécu une expérience aussi terrible ou s’il n’y avait que quelques personnes, mais je pense que la plupart d’entre eux l’auraient mangé et réduit leurs pertes, mais pour moi, ils ont tout pris. Ils ont lavé le sol avec moi et ont arraché les jouets de chaque enfant. C’était vraiment mauvais de gagner avec quelqu’un. C’est amusant de me voir souffrir, mais cela semble être une décision collective.”
Les affirmations sur l’éclipse cauchemardesque ne sont pas confirmées à ce stade, mais pour ce que ça vaut, ce n’est pas la seule histoire que j’ai entendue.
MISE À JOUR (31 mai 2026) : Un porte-parole de Microsoft a commenté l’annonce d’Eclipse : “Microsoft ne supprime pas les comptes du portail des chercheurs MSRC. N’importe qui peut soumettre une vulnérabilité à l’entreprise. Microsoft ne peut pas confirmer quel compte cette personne a désactivé.”
Microsoft passe des contrats avec l’armée américaine et prend la sécurité très au sérieux, mais peut-être pas assez au sérieux. Directeur exécutif Satya Nadella J’ai été gêné par certaines personnes ces deux dernières années pirates Azure de haut niveauentretenir de bonnes relations avec des pirates informatiques bien intentionnés et éthiques devrait être la pierre angulaire de la protection des clients de Microsoft.
Il semble que chaque semaine j’ai une nouvelle histoire IA– Les pirates informatiques puissants peuvent améliorer la cybersécurité mondiale de deux manières. Microsoft semble adopter une position plus agressive en s’attaquant aux pirates informatiques et à ceux qui signalent publiquement des vulnérabilités. En conséquence, Microsoft a publié réponse Dans la clarification de Nightmare Eclipse.
« Les vulnérabilités connues sous les noms de RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma et MiniPlasma n’ont pas été divulguées de manière responsable. En réponse au risque inutile créé par ces divulgations, notre équipe de sécurité travaille 24 heures sur 24 pour comprendre l’impact, protéger nos clients et développer des mises à jour de sécurité.
Nous restons fermement opposés à ces pratiques et à toute divulgation non réglementée qui pourrait nuire à nos clients et à l’écosystème numérique. Les informations non réglementées qui fournissent la preuve d’un code de vulnérabilité non corrigé entre les mains de mauvais acteurs ne sont jamais justifiées et ont de réelles conséquences. Dans toute l’entreprise, notre équipe de sécurité travaille sans relâche pour trouver les acteurs malveillants à la recherche de vulnérabilités similaires pour attaquer Microsoft et nos clients. Notre unité de lutte contre la criminalité numérique poursuivra ces acteurs et ceux qui facilitent leurs activités criminelles, et travaillera avec les forces de l’ordre mondiales si nécessaire. »
“Si la tactique de Microsoft consiste à tenter de criminaliser le non-respect d’un cadre arbitraire de “divulgation responsable”, bonne chance pour le défendre devant les tribunaux.”
Kevin Beaumont via DoublePulsar.com.
Plus important encore, la Constitution américaine protégera les divulgations de Nightmare Eclipse en vertu du Freedom of Speech Act. Cependant, selon la manière dont il a obtenu l’exploit, il peut avoir enfreint la loi sur la fraude et les abus informatiques.
Le langage utilisé sur le blog de Microsoft a suscité la colère des chercheurs en sécurité, qui ont apparemment déclaré qu’ils s’en prendraient à ceux qui divulgueraient simplement de tels exploits.
Kevin Beaumont, ancien analyste principal de la sécurité chez Microsoft ( Le bord) appelé Redmond a été manifestement hypocrite à propos du traitement Nightmare Eclipse.
“Attendez une minute… créer et distribuer une preuve de concept Zero Day est désormais une “activité criminelle” ? Qui a abrogé cette phrase au CELA ? Microsoft est le plus grand distributeur Zero Day. GitHub. Le non-respect du processus de « divulgation responsable » n’est pas illégal.
Nightmare Eclipse a également été lancé par GitHub (propriété de Microsoft), Gitlab (un partenaire de Microsoft), doxé sur Twitter et enregistré auprès du MSRC – le portail de rapport de vulnérabilité de Microsoft – désactivé. Il est assez difficile de signaler de manière « responsable » de futures vulnérabilités lorsque vous êtes banni. »
Beaumont a également suggéré dans l’article que Microsoft avait déjà embauché des chercheurs en sécurité qui avaient révélé publiquement qu’ils avaient vendu des exploits à des États voyous comme la Russie et l’Iran. “Microsoft a sciemment employé quelqu’un qui a parlé à plusieurs reprises de vendre des exploits à la Russie et à l’Iran alors qu’il y était pendant des années. Ils ont embauché des personnes condamnées au pénal pour piratage et diffusion publique Zero Day.”
Lorsque vous dirigez une opération aussi vaste et aussi vaste que Microsoft, vous êtes forcément une cible pour les criminels privés et parrainés par l’État. Microsoft, la plus grande entreprise mondiale en termes de capitalisation boursière, est obligée de faire des économies pour livrer ses rapports de rentabilité à Wall Street.
Les exploits de sécurité sont inévitables dans les logiciels, mais à l’ère de l’IA, la vitesse à laquelle Microsoft sera attaqué ne fera qu’augmenter avec le temps. Il ne semble pas vertueux de s’opposer aux chercheurs comme ils le font actuellement. Ce drame pourrait alimenter les appels à formaliser des lois sur la vulnérabilité qui ont été débattues à maintes reprises aux États-Unis mais jamais pleinement mises en œuvre au niveau fédéral.
etc. Beaumont ferme ses portes sur DoublePulsar.com, “Si la tactique de Microsoft est d’essayer de criminaliser le non-respect d’un cadre arbitraire de “divulgation responsable”, alors bonne chance pour le défendre devant les tribunaux – parce que Microsoft dispose de toute une machine clownesque qui crée des précédents et des faits qui seront révélés au cours du processus.”
Rejoignez-nous Reddit sur r/WindowsCentral partagez votre point de vue et discutez de nos dernières nouvelles, critiques et plus encore.