Microsoft menace un chercheur en sécurité d'enquête criminelle
Original : Microsoft under fire for threatening security researcher with criminal investigation
Pourquoi c'est important
Relance le débat sur la divulgation responsable des vulnérabilités
Microsoft menace de poursuites légales le chercheur 'Nightmare Eclipse' qui a publié des vulnérabilités non corrigées dans Windows Defender et BitLocker sans divulgation responsable préalable.
Microsoft a publié un article de blog critiquant le chercheur 'Nightmare Eclipse' pour avoir divulgué publiquement plusieurs failles de sécurité, notamment BlueHammer, RedSun, UnDefend et YellowKey, affectant Windows Defender et BitLocker. L'entreprise reproche au chercheur de ne pas avoir tenté de signaler les bugs pour permettre leur correction avant publication. Certaines vulnérabilités ont depuis été exploitées par des pirates selon Microsoft et la CISA. L'unité Digital Crimes Unit de Microsoft évoque des 'actions légales civiles' et une 'coordination avec les forces de l'ordre'. Le chercheur affirme avoir été mal traité par Microsoft, notamment par la révocation de son accès au portail MSRC. Ses comptes GitHub et GitLab ont été suspendus.