Microsoft a procédé à un correctif sur une vulnérabilité majeure de Windows 10, dans un des composants du nom de CryptoAPI. Ce dernier permet aux développeurs de signer numériquement un logiciel, attestant de son authenticité. Si des pirates parviennent à l’utiliser, ils peuvent alors usurper le certificat d’un logiciel et faire exécuter à sa place un malware. L’utilisateur serait alors incapable de savoir qu’il utilise un logiciel non authentique. Le CERT-CC de l’Université de Carnegie Mellon, en charge des recherches sur les vulnérabilités, ajoute que le bug pourrait également servir aux pirates pour intercepter des communications HTTPS et éventuellement les modifier. Si Microsoft déclare ne pas avoir de preuves de l’utilisation frauduleuse de ce bug, il a été classé comme « important ». Dmitri Alperovitch, cofondateur et directeur technologique de la société en cybersécurité CrowdStrike, a invité les utilisateurs à appliquer sans attendre les correctifs pour Windows 10. Il estime que la vulnérabilité découverte constitue un problème critique.
Dans une déclaration, l’Agence de sécurité nationale américaine (NSA) a déclaré être la première à avoir identifié la vulnérabilité sur Windows 10. Elle a ensuite décidé d’alerter Microsoft. Il y a deux ans, la NSA avait déjà trouvé une faille semblable. A la différence, plutôt que signaler le bug Microsoft, l'agence américaine avait décidé de l'exploiter à des fins de surveillance en utilisant le logiciel EternalBlue. Mais cette faille avait aussi été utilisée par des pirates informatiques qui avaient lancé la célèbre attaque WannaCry qui a endommagé des milliers d’ordinateurs tout en faisant des millions de dollars de dégâts. Cette fois-ci, il semble que la NSA ait procédé différemment. Selon Anne Neuberger, directrice de la cybersécurité à l’agence, une fois la faille découverte, elle a lancé une procédure propre à la NSA qui consistait à déterminer si elle devait en garder le contrôle, ou le signaler à Microsoft. Microsoft a déjà publié les correctifs à appliquer sur Windows 10 et sur Windows Server 2016, également utilisés par le gouvernement américain et plusieurs agences publiques. Néanmoins, les détails de la vulnérabilité sont gardés secrets. Seul un petit cercle d’entités en a connaissance, notamment la NSA et l’unité consultative du gouvernement sur la cybersécurité (CISA). Dans un passé récent, des pirates informatiques ont utilisé la technique de falsification d’authenticité pour répandre leur logiciel malveillant. En 2019, des groupes de pirates avaient réussi à voler des certificats d’Asus pour concevoir une version modifiée d’une mise à jour logicielle, compromettant des centaines de milliers d’ordinateurs.
À lire aussi : GitHub ne prévoit pas de migrer complètement vers le Cloud Azure malgré son acquisition par Microsoft