Un chercheur anonyme publie des exploits 0-day pour 15 produits sans notification préalable

đŸ—“ïž Contexte PubliĂ© le 29 juin 2026 par The Register, cet article rapporte la divulgation publique non coordonnĂ©e d’exploits zero-day par un chercheur anonyme se faisant appeler bikini, via un dĂ©pĂŽt GitHub nommĂ© exploitarium (depuis supprimĂ©). 🎯 Nature de l’incident Le chercheur a publiĂ© du code d’exploitation fonctionnel pour des vulnĂ©rabilitĂ©s zero-day affectant 15 produits logiciels et projets open source, sans notification prĂ©alable d’aucun Ă©diteur ni mainteneur. Deux de ces vulnĂ©rabilitĂ©s font l’objet d’une exploitation active au moment de la publication. ...

30 juin 2026 Â· 3 min

Zero-day VS Code / github.dev : vol de tokens OAuth GitHub via divulgation publique immédiate

📰 Source : SecurityAffairs, publiĂ© le 4 juin 2026. Le chercheur en sĂ©curitĂ© Ammar Askar a dĂ©couvert une vulnĂ©rabilitĂ© zero-day sĂ©rieuse dans github.dev, la version navigateur de Visual Studio Code, et a publiĂ© un exploit fonctionnel (PoC) une heure aprĂšs en avoir informĂ© un contact chez GitHub, sans ouvrir de ticket MSRC ni respecter de fenĂȘtre de 90 jours. 🔍 Nature de la vulnĂ©rabilitĂ© : Lorsque github.com transmet un token OAuth Ă  github.dev, ce token n’est pas limitĂ© au dĂ©pĂŽt concernĂ©. Il dispose d’un accĂšs complet Ă  tous les dĂ©pĂŽts publics et privĂ©s accessibles par l’utilisateur. Un attaquant capable de modifier le fichier .vscode/extensions.json d’un dĂ©pĂŽt peut y recommander une extension VS Code malveillante. ...

13 juin 2026 Â· 3 min

Un chercheur banni de GitHub publie 6 zero-days Windows aprĂšs un conflit avec Microsoft/MSRC

đŸ—“ïž Contexte Article publiĂ© le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sĂ©curitĂ© Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit Ă  la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔ Conflit chercheur / Ă©diteur Le diffĂ©rend a dĂ©butĂ© dĂ©but avril avec la publication sans prĂ©avis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusĂ© toute communication, supprimĂ© son compte Microsoft utilisĂ© pour les rapports de bugs, puis banni son compte GitHub. Il allĂšgue Ă©galement ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prĂ©voit des rĂ©compenses de 30 000 $ Ă  250 000 $ selon la criticitĂ©). Eclipse a migrĂ© vers GitLab suite au bannissement. ...

27 mai 2026 Â· 3 min

Chercheur 'Nightmare-Eclipse' publie plusieurs 0-days Microsoft en représailles contre MSRC

🔍 Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opĂ©rant sous le pseudonyme Nightmare-Eclipse, publie une sĂ©rie de divulgations publiques de vulnĂ©rabilitĂ©s ciblant Microsoft Windows, en rĂ©ponse Ă  ce qu’il dĂ©crit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC). 📋 Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — premiĂšre divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifiĂ© de « DOS tool » et de 0-day, permettant Ă  tout utilisateur d’exĂ©cuter du code avec privilĂšges administrateur en contournant Windows Defender. L’auteur prĂ©cise que combinĂ© Ă  BlueHammer, la machine est entiĂšrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en rĂ©ponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait Ă©tĂ© informĂ© mais avait ignorĂ© le signalement. 12 mai 2026 : Publication simultanĂ©e de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises. 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patchĂ© RedSun sans CVE ni advisory, malgrĂ© une exploitation active. Il confirme que YellowKey fonctionne mĂȘme dans un environnement TPM+PIN et refuse de publier le PoC complet. ⚠ ÉlĂ©ments notables L’auteur affirme disposer d’un dead man switch sophistiquĂ©, hĂ©bergĂ© hors de son domicile, contenant des divulgations massives supplĂ©mentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signĂ©s cryptographiquement via PGP (Ed25519), la clĂ© publique est publiĂ©e sur le blog. L’auteur annonce des divulgations de RCE Ă  venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est dĂ©crit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. 🎯 Nature de l’article Il s’agit d’une sĂ©rie de divulgations publiques offensives (full disclosure) motivĂ©es par un conflit personnel avec Microsoft/MSRC, accompagnĂ©es de menaces crĂ©dibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnĂ©rabilitĂ©s non corrigĂ©es. ...

13 mai 2026 Â· 3 min

Fuite publique de l'exploit BlueHammer : zero-day LPE non patché sur Windows

📰 Contexte PubliĂ© le 6 avril 2026 par BleepingComputer, cet article rapporte la divulgation publique non coordonnĂ©e d’un exploit zero-day Windows par un chercheur en sĂ©curitĂ© opĂ©rant sous les alias Chaotic Eclipse et Nightmare-Eclipse, en rĂ©action Ă  la gestion jugĂ©e insatisfaisante de son signalement par le Microsoft Security Response Center (MSRC). 🔍 DĂ©tails de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ©, baptisĂ©e BlueHammer, est une Ă©lĂ©vation de privilĂšges locale (LPE) sur Windows. Elle combine deux techniques : ...

7 avril 2026 Â· 2 min
Derniùre mise à jour le: 11 juillet 2026 📝