La communauté de la sécurité open source est confrontée à une crise soudaine, car les processus automatisés de vérification des comptes de Microsoft ont par inadvertance exclu les développeurs de plusieurs outils de sécurité essentiels. Cela inclut WireGuard, un protocole VPN fondamental, et VeraCrypt, un logiciel de chiffrement largement utilisé.
Le verrouillage a empêché les développeurs de signer des pilotes ou de distribuer des mises à jour logicielles critiques, créant une vulnérabilité importante pour les millions d’utilisateurs qui comptent sur ces outils pour la confidentialité numérique et la sécurité du système.
Le goulot d’étranglement technique : pourquoi la signature des pilotes est importante
Pour comprendre la gravité de ce problème, il faut examiner comment Windows gère la sécurité. Microsoft exploite le Windows Hardware Program, un système de contrôle qui oblige les développeurs à se soumettre à une vérification d’identité stricte avant de pouvoir distribuer des « pilotes », le logiciel qui permet à un système d’exploitation de communiquer avec le matériel et les composants système de bas niveau.
Étant donné que les pilotes opèrent en profondeur au sein du système d’exploitation, ils peuvent accorder un immense accès aux données d’un ordinateur. Pour empêcher les pirates d’utiliser des pilotes malveillants pour pirater des systèmes, Microsoft exige que tous les développeurs légitimes soient contrôlés.
Le problème survient lorsqu’un développeur perd l’accès à ce statut de vérification :
– Aucune mise à jour ne peut être expédiée : Sans pilote valide et signé, Windows rejettera les nouvelles mises à jour logicielles comme étant non fiables.
– Risques de sécurité : Si une vulnérabilité critique est découverte, les développeurs comme Jason Donenfeld (créateur de WireGuard) sont actuellement incapables de déployer le « correctif » nécessaire pour protéger les utilisateurs.
– Instabilité du système : Dans le cas de VeraCrypt, le verrouillage empêche les mises à jour nécessaires à l’expiration des certificats de sécurité, ce qui pourrait potentiellement empêcher les utilisateurs de démarrer leur ordinateur.
Un modèle de suspensions silencieuses
La perturbation actuelle semble être le résultat d’une campagne de vérification obligatoire et inopinée menée par Microsoft plus tôt cette année. Selon Donenfeld, Microsoft a demandé aux partenaires du programme matériel Windows de télécharger une pièce d’identité émise par le gouvernement pour conserver leur statut.
Cependant, le déploiement a été entravé par des problèmes de communication :
– Manque de notification : Les développeurs déclarent n’avoir reçu aucun avertissement par courrier électronique ou dans des dossiers spam concernant cette exigence.
– Verrouillages automatisés : Une fois la fenêtre de vérification fermée, les comptes qui n’avaient pas terminé le processus étaient automatiquement suspendus.
– Retards bureaucratiques : Même après que les développeurs ont fourni les documents demandés (tels que des passeports ou des permis de conduire), l’accès est resté restreint. Donenfeld a noté que l’équipe de support exécutif de Microsoft a indiqué qu’une période d’examen pourrait prendre jusqu’à 60 jours.
Impact sur l’écosystème de sécurité mondial
Les effets d’entraînement de ces verrouillages s’étendent bien au-delà des développeurs individuels. WireGuard n’est pas seulement une application autonome ; son code sert d’épine dorsale aux principaux services commerciaux, notamment Proton et Tailscale.
D’autres outils de confidentialité de premier plan signalent également des difficultés similaires :
– VeraCrypt : Face à des problèmes d’expiration imminente des certificats.
– Windscribe : Un fournisseur VPN de longue date qui n’a pas pu accéder à son compte Partner Center depuis plus d’un mois, citant un support « inexistant ».
Cette situation met en évidence une tension croissante dans l’industrie technologique : la friction entre les protocoles de sécurité rigoureux conçus pour arrêter les mauvais acteurs et l’agilité opérationnelle requise par la communauté open source pour assurer la sécurité des logiciels.
“S’il y avait une vulnérabilité critique à corriger maintenant… les utilisateurs seraient totalement exposés.” — Jason Donenfeld, créateur de WireGuard
Conclusion
La suspension soudaine des comptes de développeurs par Microsoft a créé une faille dangereuse dans l’infrastructure de sécurité de l’écosystème Windows. Bien que ces mesures visent à prévenir les logiciels malveillants, le manque de communication transparente et la lenteur des processus de récupération ont laissé les outils de sécurité essentiels incapables de protéger leurs utilisateurs.
