Cette action semble tout sauf fortuite. Le chercheur, qui opère en ligne sous le pseudonyme Nightmare-Eclipse, mène depuis longtemps une lutte acharnée contre Microsoft et ne semble pas avoir l’intention d’y mettre un terme.
Une faille de sécurité affecte Windows Defender
Cette nouvelle faille, baptisée RoguePlanet, se trouve dans Windows Defender. Selon le chercheur, cette vulnérabilité permet d’obtenir des privilèges système élevés sur un ordinateur Windows. Les attaquants pourraient ainsi, en théorie, prendre le contrôle total d’un système.
Il est à noter que Nightmare-Eclipse a non seulement partagé des détails sur cette vulnérabilité, mais a également publié une preuve de concept, comme le rapporte The Register. Ce code de démonstration montre comment exploiter cette faille. Selon le chercheur, l’attaque ne fonctionne pas encore dans toutes les circonstances, car elle dépend d’une « condition de concurrence ». Dans ce cas, plusieurs processus tentent d’accéder simultanément aux mêmes données, ce qui peut entraîner des résultats inattendus.
Le chercheur met toutefois en garde contre le fait que les restrictions actuelles peuvent être contournées assez facilement. Selon lui, quelques modifications supplémentaires suffiraient à rendre l’attaque bien plus efficace. Bien qu’il n’ait pas lui-même rendu publiques ces améliorations, la voie est ainsi largement ouverte aux personnes malveillantes. Cela rend la situation d’autant plus délicate. En effet, aucune mise à jour de sécurité permettant de résoudre le problème n’est actuellement disponible. De même, aucune mesure temporaire visant à limiter le risque n’a encore été annoncée.
Conflit de longue date avec Microsoft
Ce n’est pas la première fois que Nightmare-Eclipse rend publique une vulnérabilité de Windows. Selon plusieurs sources, il s’agit déjà de la septième faille « zero-day » que le chercheur publie sans en avoir préalablement informé Microsoft. Auparavant, les failles RedSun, UnDefend, BlueHammer, GreenPlasma, MiniPlasma et YellowKey, entre autres, avaient été rendues publiques en ligne. Plusieurs d’entre elles ont ensuite été exploitées avant que Microsoft ne puisse déployer une solution. Les six vulnérabilités précédentes ont toutefois été corrigées grâce à la mise à jour de sécurité majeure de juin.
Avec RoguePlanet, la bataille semble toutefois reprendre. Le chercheur a d’ailleurs indiqué que d’autres failles allaient suivre. Selon certaines informations, il prévoit de publier le 14 juillet, date du prochain Patch Tuesday, ce qu’il décrit comme « sa faille Windows zero-day la plus grave à ce jour ».
Les motivations derrière ces actions font l’objet de nombreuses spéculations. Nightmare-Eclipse affirme avoir signalé par le passé des failles de sécurité conformément aux règles, mais n’avoir jamais reçu la reconnaissance ni la rémunération qu’il espérait. Par ailleurs, des rumeurs circulent selon lesquelles le chercheur serait un ancien employé de Microsoft. Il n’existe pour l’instant aucune preuve à cet égard, mais cela pourrait, selon certains, expliquer pourquoi il semble avoir une connaissance aussi approfondie de Windows.
Microsoft a entre-temps vivement condamné l’approche du chasseur de bogues. L’entreprise souligne que le signalement responsable des vulnérabilités reste essentiel pour protéger les utilisateurs. En effet, en rendant immédiatement publiques les failles de sécurité, les cybercriminels disposent des mêmes informations que les chercheurs en sécurité, alors qu’aucune solution n’est encore disponible. Cela augmente considérablement le risque d’abus.
