Après qu'un chercheur en sécurité a publié des bogues non corrigés dans des produits Microsoft - avec code d'exploitation complet - l'entreprise a répondu non pas en les corrigeant, mais en menaçant d'appeler la police. La menace juridique voilée de Microsoft a relancé le débat de longue date sur la question de savoir si les chercheurs en sécurité doivent quoi que ce soit aux géants de la tech de mille milliards de dollars qui ne peuvent pas se donner la peine de corriger leurs propres logiciels.

Mercredi, Microsoft a publié un article de blog critiquant le chercheur connu sous le nom de "Nightmare Eclipse" pour avoir divulgué publiquement une série de bogues nommés BlueHammer, RedSun UnDefend et YellowKey - cela ressemble moins à des failles de sécurité qu'à des méchants de Power Rangers rejetés. Les failles affectaient des produits comme le moteur antivirus intégré de Windows Defender et l'outil de chiffrement de disque BitLocker.

La plainte principale de Microsoft est que le chercheur n'a pas signalé les bogues en privé afin que l'entreprise puisse d'abord les corriger. Cela aurait été la chose "responsable" à faire, selon Microsoft. L'entreprise affirme également que la publication des détails de l'exploitation avant qu'un correctif ne soit disponible a pu aider les pirates malveillants - et en effet, certaines des vulnérabilités ont depuis été utilisées dans des attaques réelles, selon Microsoft et l'agence de cybersécurité américaine CISA.

"Notre Digital Crimes Unit continuera à engager des poursuites contre ces acteurs et ceux qui facilitent leurs activités criminelles - en coordonnant si nécessaire avec les forces de l'ordre du monde entier," a écrit Microsoft. La mission de la Digital Crimes Unit, selon son site Web, comprend "des actions juridiques civiles, des contre-mesures techniques, des signalements pénaux et des partenariats public-privé." Donc, essentiellement, c'est la version corporate d'appeler son père parce que quelqu'un a été méchant avec vous.

Dans une série de blogs publiés ces dernières semaines, Nightmare Eclipse a affirmé avoir été en contact avec Microsoft mais avoir été maltraité - y compris la révocation de son compte Microsoft Security Response Center. Leur sous-entendu était qu'ils n'avaient d'autre choix que de publier les vulnérabilités publiquement, les transformant effectivement en zero-days : des failles de sécurité inconnues du fabricant du logiciel concerné au moment de la divulgation.

Le chercheur a publié les bogues sur GitHub et GitLab - deux plateformes où leurs comptes ont depuis été bannis. Ni Nightmare Eclipse ni Microsoft n'ont répondu aux demandes de commentaires.

Cette querelle publique relance un débat toujours controversé : les chercheurs en sécurité indépendants ont-ils le devoir de s'assurer que les vulnérabilités qu'ils trouvent soient corrigées ? Et jusqu'où doivent-ils aller pour s'assurer que les entreprises dont les produits sont vulnérables les corrigent réellement ?

Une partie de ce débat a été réglée : les chercheurs méritent d'être payés. Il a fallu des années de lutte - capturée en partie par la campagne de 2009 "No More Free Bugs" - mais près de 20 ans plus tard, la plupart des entreprises paient des primes de bogues qui peuvent atteindre six chiffres ou plus pour les divulgations privées.

En réponse à cette dernière controverse, d'innombrables chercheurs ont partagé leurs mauvaises expériences en signalant des bogues à Microsoft. La communauté de la cybersécurité est vocalement mécontente. Cela inclut Katie Moussouris, fondatrice de Luta Security, qui, alors qu'elle travaillait chez Microsoft au milieu et à la fin des années 2000, a été pionnière des primes de bogues et a convaincu l'entreprise d'adopter la "divulgation coordonnée" au lieu de la "divulgation responsable."

"Invoquer le terme de divulgation 'responsable' a été la première frappe dans mon livre," a déclaré Moussouris à TechCrunch. "Ajouter une menace de poursuites en mentionnant [Digital Crimes Unit] était exagéré, et ne fera que rendre les chercheurs en sécurité méfiants envers Microsoft." Elle a averti que perdre la confiance des chercheurs pourrait créer un effet dissuasif, rendant "moins sûr pour nous tous."

Le chercheur en sécurité et ancien employé de Microsoft Kevin Beaumont a également critiqué l'entreprise, décrivant sa position comme un "dumpster fire de sa propre fabrication." "La création et la distribution de preuves de concept d'exploitation pour des zero-days sont désormais une 'activité criminelle'?" a écrit Beaumont. "La divulgation responsable est assez..."