Microsoft a publié mardi un correctif pour une faille majeure de Windows découverte par la NSA.
Ian Knighton / Camaraderielimited
Au lieu de garder une ressource potentielle de piratage pour elle-même, la National Security Agency des États-Unis a alerté Microsoft d’une grave faille de sécurité dans le système d’exploitation Windows 10 qui pourrait ouvrir les ordinateurs à des violations majeures ou à la surveillance. La NSA a déclaré que la faille est grave et que les pirates comprendront très rapidement comment l’exploiter.
« Les conséquences de ne pas corriger la vulnérabilité sont graves et répandues », a déclaré mardi la NSA dans un avis.
Traduction: Mettez à jour vos systèmes Microsoft immédiatement pour éviter le piratage.
Microsoft a publié mardi un correctif pour la faille, qui a été signalé pour la première fois par le Washington Post. La faille affecte les appareils exécutant le système d’exploitation Windows 10, ainsi que les systèmes d’exploitation Windows Server 2016 et 2019. En utilisant cette faille, les attaquants pourraient créer un exploit qui crée de faux certificats de sécurité, leur donnant un accès gratuit pour exécuter des logiciels malveillants sur les appareils Windows tout en ayant l’air légitime pour le système.
« L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semble provenir d’un fournisseur de confiance », a expliqué Microsoft dans sa description de la vulnérabilité.
En d’autres termes, si les systèmes de sécurité de votre ordinateur sont comme un videur devant une boîte de nuit, un certificat de sécurité usurpé est comme une fausse ID pour un logiciel malveillant sournois, a déclaré Satnam Narang, chercheur en cybersécurité chez Tenable. Avec le certificat usurpé, a-t-il dit, les logiciels malveillants « peuvent entrer dans le club, pour ainsi dire ».
Les chercheurs en cybersécurité ont également exprimé leur inquiétude mardi que la faille puisse laisser les attaquants compromettre les communications sécurisées avec le cryptage alors qu’ils voyagent de l’expéditeur au destinataire, ce qui repose sur un protocole appelé TLS. « Si vous êtes un développeur d’une application qui utilise TLS, je penserais également en ce moment à l’impact de ce problème sur votre modèle de menace », a déclaré Dmitri Alperovitch, directeur technique de la société de cybersécurité Crowdstrike, sur Twitter.
Si vous êtes un développeur d’une application qui utilise TLS, je penserais également en ce moment à l’impact de ce problème sur votre modèle de menace https://t.co/WmSvlCqOAi
– Dmitri Alperovitch (@DAlperovitch) 14 janvier 2020
La société a publié les mises à jour et les informations techniques de ce mois dans le cadre de sa mise à jour régulière mardi. C’est la première fois que Microsoft crédite la NSA pour avoir signalé une faille de sécurité, selon l’expert en sécurité Brian Krebs.
La coopération entre la NSA et Microsoft est un développement prometteur, a déclaré Michael Kaiser, ancien directeur exécutif de la National Cyber Security Alliance. Dans le cadre de son travail, Kaiser a aidé les petites et moyennes entreprises à lutter contre la cybersécurité, et il affirme que le niveau de confiance et de partage entre les entreprises et le gouvernement était très faible il y a 10 ans. Cela pourrait être un signe que les choses s’améliorent.
« Vous ne pouvez pas rendre le monde plus sûr à moins de partager ce genre de choses », a déclaré Kaiser.
Microsoft a déclaré dans sa description de la vulnérabilité qu’il n’avait pas vu d’exploitation active de la faille. La NSA a précédemment développé des outils de piratage utilisant des failles dans les systèmes Microsoft, y compris un exploit appelé Eternal Blue. L’exploit de la NSA a été volé par des pirates et utilisé par des criminels dans une série d’attaques de ransomwares qui ont frappé des villes des États-Unis et au-delà.
La nouvelle de la faille de sécurité de mardi arrive le même jour que Microsoft met fin à la prise en charge de Windows 7. La société a encouragé les gens à passer à Windows 10 pour sécuriser leurs PC et ordinateurs portables.
Publié à l’origine le 14 janvier à 8 h 17, heure du Pacifique.
Mises à jour, 8 h 34: Ajoute des commentaires de Microsoft et plus de fond; 10 h 24: Comprend la confirmation de Microsoft que la NSA a signalé la vulnérabilité; 10 h 52: Ajoute la confirmation de la NSA qu’elle a signalé une vulnérabilité; 11 h 34: Comprend un commentaire de Michael Kaiser; 12 h 30: Ajoute des informations sur la vulnérabilité et une citation de Satnam Narang.
