Windows Defender sous le feu des hackers : trois failles critiques divulguées par dépit par un chercheur
Une série de vulnérabilités critiques touchant Windows Defender a été rendue publique par un chercheur en sécurité mécontent de ses échanges avec Microsoft. Ces failles, dont deux restent non corrigées, sont désormais activement exploitées par des cyberattaquants pour infiltrer des organisations.
Une vengeance numérique aux conséquences lourdes
Le monde de la cybersécurité est actuellement en alerte après la publication volontaire de plusieurs failles de sécurité critiques par un chercheur agissant sous le pseudonyme de **Chaotic Eclipse**. Ce dernier, apparemment frustré par ses interactions avec le Microsoft Security Response Center (MSRC), a choisi de rendre publics les codes d'exploitation (exploits) de trois vulnérabilités majeures impactant Windows Defender.
Baptisées **BlueHammer**, **UnDefend** et **RedSun**, ces failles offrent aux attaquants des leviers redoutables pour contourner les protections natives du système d'exploitation le plus utilisé au monde. Selon la société de cybersécurité Huntress, il ne s'agit plus de théorie : des pirates exploitent déjà activement ces vulnérabilités pour pénétrer dans les réseaux d'organisations.
Un correctif sur trois pour le moment
À l'heure actuelle, la situation est loin d'être sous contrôle. Microsoft a réagi en urgence en déployant un correctif pour **BlueHammer** (référencée sous le code CVE-2026-33825), mais les deux autres failles, UnDefend et RedSun, restent « zero-day », c'est-à-dire sans protection officielle disponible.
Cette publication en cascade ressemble à une démonstration de force de la part du chercheur. Sur son blog, Chaotic Eclipse a d'ailleurs adressé un message sarcastique à la firme de Redmond : « Je ne bluffais pas, et je recommence. Un grand merci à la direction du MSRC pour avoir rendu cela possible ». Ce ton suggère un désaccord profond, probablement lié à une prime de bug (bug bounty) refusée ou à une gestion jugée insatisfaisante de ses rapports initiaux.
La « Full Disclosure » : un débat relancé
Cet incident relance le débat éthique sur la « divulgation complète ». Si la plupart des chercheurs collaborent avec les éditeurs pour laisser le temps de créer un correctif avant toute annonce (divulgation responsable), certains optent pour la mise en ligne immédiate afin de forcer la main des géants de la tech.
Le problème reste que cette méthode arme instantanément les cybercriminels. Huntress a confirmé avoir observé des intrusions réelles utilisant directement le code publié en ligne par Chaotic Eclipse. Bien que l'identité des cibles et des attaquants ne soit pas encore connue, le risque de propagation massive est réel pour toutes les infrastructures s'appuyant sur Windows Defender.
Quelles mesures pour les entreprises ?
Pour les administrateurs système, l'urgence est au déploiement immédiat du patch pour BlueHammer. Pour les autres vulnérabilités non encore corrigées, la vigilance est de mise. Il est conseillé de surveiller de près les journaux d'activité de Windows Defender et d'envisager des couches de sécurité supplémentaires (EDR tiers) pour pallier les éventuelles défaillances de l'outil natif de Microsoft en attendant une mise à jour globale.
Points clés à retenir
- Trois failles nommées BlueHammer, UnDefend et RedSun ont été révélées par le chercheur 'Chaotic Eclipse'.
- Microsoft n'a pour l'instant corrigé que l'une d'entre elles (BlueHammer).
- La firme Huntress confirme que des attaques réelles utilisent déjà ces codes d'exploitation.
- La motivation du chercheur semble être un conflit personnel avec le Microsoft Security Response Center (MSRC).