https://cyberveille.ch/tags/yellowkey/ Recent content in YellowKey on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 13 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-13-chercheur-nightmare-eclipse-publie-plusieurs-0-days-microsoft-en-represailles-contre-msrc/ Wed, 13 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-13-chercheur-nightmare-eclipse-publie-plusieurs-0-days-microsoft-en-represailles-contre-msrc/ <h2 id="-contexte">🔍 Contexte</h2> <p>Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L&rsquo;auteur, opérant sous le pseudonyme <strong>Nightmare-Eclipse</strong>, publie une série de divulgations publiques de vulnérabilités ciblant <strong>Microsoft Windows</strong>, en réponse à ce qu&rsquo;il décrit comme un traitement abusif de sa part par le <strong>Microsoft Security Response Center (MSRC)</strong>.</p> <h2 id="-chronologie-des-divulgations">📋 Chronologie des divulgations</h2> <ul> <li><strong>2 avril 2026</strong> : Publication de <strong>BlueHammer</strong> (GitHub : Nightmare-Eclipse/BlueHammer) — première divulgation publique, sans explication technique.</li> <li><strong>12 avril 2026</strong> : Publication de <strong>UnDefend</strong> (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifié de « DOS tool » et de 0-day, permettant à tout utilisateur d&rsquo;exécuter du code avec <strong>privilèges administrateur</strong> en contournant <strong>Windows Defender</strong>. L&rsquo;auteur précise que combiné à BlueHammer, la machine est entièrement compromise.</li> <li><strong>15 avril 2026</strong> : Publication de <strong>RedSun</strong> (GitHub : Nightmare-Eclipse/RedSun) en réponse au patch de <strong>CVE-2026-33825</strong>. L&rsquo;auteur mentionne que MSRC avait été informé mais avait ignoré le signalement.</li> <li><strong>12 mai 2026</strong> : Publication simultanée de <strong>YellowKey</strong> (GitHub : Nightmare-Eclipse/YellowKey) et <strong>GreenPlasma</strong> (GitHub : Nightmare-Eclipse/GreenPlasma). L&rsquo;auteur annonce vouloir impliquer d&rsquo;autres entreprises.</li> <li><strong>13 mai 2026</strong> : L&rsquo;auteur signale que Microsoft a <strong>silencieusement patché RedSun sans CVE ni advisory</strong>, malgré une exploitation active. Il confirme que <strong>YellowKey</strong> fonctionne même dans un environnement <strong>TPM+PIN</strong> et refuse de publier le PoC complet.</li> </ul> <h2 id="-éléments-notables">⚠️ Éléments notables</h2> <ul> <li>L&rsquo;auteur affirme disposer d&rsquo;un <strong>dead man switch</strong> sophistiqué, hébergé hors de son domicile, contenant des divulgations massives supplémentaires.</li> <li>Il mentionne explicitement <strong>Tom Gallagher</strong> (MSRC leadership) dans ses remerciements sarcastiques.</li> <li>Les messages sont <strong>signés cryptographiquement via PGP (Ed25519)</strong>, la clé publique est publiée sur le blog.</li> <li>L&rsquo;auteur annonce des <strong>divulgations de RCE</strong> à venir et une « surprise » pour le prochain Patch Tuesday.</li> <li><strong>YellowKey</strong> est décrit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC.</li> </ul> <h2 id="-nature-de-larticle">🎯 Nature de l&rsquo;article</h2> <p>Il s&rsquo;agit d&rsquo;une série de <strong>divulgations publiques offensives</strong> (full disclosure) motivées par un conflit personnel avec Microsoft/MSRC, accompagnées de menaces crédibles de divulgations futures. Le but principal est d&rsquo;exercer une pression publique sur Microsoft en exposant des vulnérabilités non corrigées.</p>