Quelques heures à peine après que Microsoft ait déployé son correctif mensuel du « Patch Tuesday » de juin 2026, un chercheur anonyme répondant aux noms de Chaotic Eclipse ou Nightmare-Eclipse a lâché sa bombe : un nouvel exploit fonctionnel contre l’antivirus maison de Windows. Nom de code : RoguePlanet. L’attaque exploite une faille de type « race condition », une course contre la montre au cœur du logiciel, pour élever les droits d’un simple utilisateur au niveau maximum. Cette publication s’inscrit dans un conflit ouvert et acrimonieux entre le chercheur et le géant de Redmond, accusé de mauvaise gestion des divulgations et de censure.
Comment fonctionne concrètement l’exploit RoguePlanet ?
L’attaque est redoutable car elle touche des systèmes considérés comme sécurisés, avec les toutes dernières mises à jour installées. RoguePlanet est une escalade de privilèges locale (LPE), ce qui signifie qu’un attaquant ayant déjà un accès limité à une machine peut s’en servir pour en prendre le contrôle total. La méthode abuse de la manière dont Microsoft Defender gère certaines opérations sur les fichiers, permettant de rediriger une action légitime de l’antivirus vers un code malveillant.
Nightmare Eclipse has released a new privilege escalation exploit, #RoguePlanet.
ThreatLocker Threat Intelligence validated the proof of concept shortly after publication. The video below shows the exploit successfully executing during our initial testing.
The team has also…
— ThreatLocker (@ThreatLocker) June 9, 2026
Le chercheur le concède lui-même : l’exploit n’est pas fiable à 100%. « C’est un coup ça marche, un coup ça rate », a-t-il déclaré, précisant avoir atteint un taux de réussite parfait sur certaines configurations, tandis que d’autres se montraient plus récalcitrantes. Cette instabilité est typique des vulnérabilités de type « race condition » (TOCTOU). Qu’importe, car une fois que ça fonctionne, le résultat est là : une console de commande avec les privilèges système, la porte ouverte à toutes les dérives.
Pourquoi cette série de failles s’acharne-t-elle sur Microsoft ?
RoguePlanet n’est pas un incident isolé. C’est le dernier chapitre d’une saga tendue entre Chaotic Eclipse et Microsoft. Le chercheur accuse l’entreprise de l’avoir humilié, d’avoir ignoré ses rapports, de ne pas l’avoir rémunéré via son programme de bug bounty et d’avoir banni son compte du portail de sécurité MSRC. En représailles, il a décidé de publier ses trouvailles, mettant une pression immense sur la firme. Visiblement, les rustines appliquées par Microsoft pour colmater les brèches précédentes n’ont pas suffi à endiguer le flot.
Cette guerre ouverte a déjà vu la publication de plusieurs autres exploits, dont certains sont déjà activement utilisés par des cybercriminels. La stratégie de Microsoft, qui a condamné ces divulgations publiques et évoqué des poursuites judiciaires, semble avoir jeté de l’huile sur le feu. C’est une véritable faille de sécurité dans la relation entre l’éditeur et une partie de la communauté des chercheurs. La liste des exploits divulgués par Chaotic Eclipse ne cesse de s’allonger :
- BlueHammer (CVE-2026-33825)
- RedSun (CVE-2026-41091)
- UnDefend (CVE-2026-45498)
- YellowKey
- GreenPlasma
Quelles sont les conséquences pour les utilisateurs et que fait Microsoft ?
Le risque est bien réel, étant donné que les précédents outils du chercheur ont été repérés dans des attaques concrètes, il y a fort à parier que RoguePlanet suivra le même chemin. Pour l’instant, Microsoft n’a pas encore publié de correctif d’urgence ni même assigné un identifiant CVE (Common Vulnerabilities and Exposures) à cette vulnérabilité zero-day. Le silence de Redmond est total et signe un certain malaise.
Pour les millions d’utilisateurs de Windows 10 et 11, la situation est préoccupante. Leurs machines, même parfaitement à jour, sont potentiellement vulnérables. Les entreprises utilisant des solutions de « liste blanche » d’applications (application allowlisting) pourraient être protégées, car elles empêcheraient l’exécution initiale du code de l’exploit. Pour les autres, il n’y a pas grand-chose à faire, si ce n’est surveiller de très près les communications de Microsoft en attendant un patch salvateur. Une situation qui prouve, encore une fois, que la sécurité absolue n’existe pas.
Foire Aux Questions (FAQ)
Qu’est-ce que l’exploit RoguePlanet ?
RoguePlanet est une vulnérabilité de sécurité de type « zero-day » qui affecte Microsoft Defender sur Windows 10 et 11. Elle permet à un attaquant d’obtenir les privilèges administrateur (SYSTEM) les plus élevés sur un ordinateur, lui en donnant le contrôle total.
Mon ordinateur est-il en danger si j’ai fait toutes les mises à jour ?
Oui. L’exploit a été spécifiquement testé et confirmé comme fonctionnel sur des systèmes Windows 10 et 11 entièrement à jour, y compris avec les correctifs de sécurité de juin 2026. L’existence d’un patch n’a pas encore été annoncée par Microsoft.
Qui est à l’origine de cette faille ?
Un chercheur en sécurité anonyme connu sous plusieurs pseudonymes, dont Chaotic Eclipse et Nightmare-Eclipse. Il publie ces failles dans le cadre d’un conflit public avec Microsoft concernant les pratiques de divulgation de vulnérabilités de l’entreprise.