Microsoft a critiqué la divulgation publique de failles de sécurité zero-day, juste après avoir supprimé le compte d'un chercheur sur GitHub. Cette action affecte directement les utilisateurs ordinaires, car elle retarde la correction de vulnérabilités dans des logiciels courants comme Windows ou Office. La protection numérique dépend d'un équilibre entre transparence et contrôle corporatif.
Le coût de faire taire les chercheurs 🔍
Lorsqu'une entreprise supprime le compte d'un chercheur qui signale des failles, cela crée un effet dissuasif. D'autres experts hésitent avant de partager des vulnérabilités critiques. Cela allonge les délais de correction, laissant des millions d'utilisateurs exposés. Sans accès public à l'information, les correctifs mettent plus de temps à arriver. Le cycle de mise à jour ralentit, et les cybercriminels profitent de cette fenêtre d'opportunité. La sécurité ne s'améliore pas avec moins de données, mais avec plus de collaboration.
Le correctif qui n'est jamais arrivé (parce qu'ils ont supprimé le messager) 🛡️
Il semble que Microsoft préfère tuer le messager plutôt que de lire le message. Si un chercheur trouve une erreur critique dans Office, mieux vaut supprimer son compte GitHub et ensuite se plaindre que les gens le racontent. Ainsi, au lieu d'un correctif rapide, les utilisateurs reçoivent un communiqué corporatif et l'espoir que le prochain zero-day ne soit pas celui qui vide leur compte bancaire. Heureusement que la sécurité est primordiale.