Informé par la NSA, Microsoft corrige une faille de sécurité majeure dans Windows 10

L’agence américaine en charge du renseignement électronique (NSA) a découvert une faille de sécurité majeure dans Windows 10. Informé, Microsoft a mis son système d’exploitation à jour dans la foulée. Cette vulnérabilité concerne les signatures logicielles, qui intervient alors que de nombreux utilisateurs migrent actuellement depuis Windows 7, arrivé en fin de vie.

Partager
Informé par la NSA, Microsoft corrige une faille de sécurité majeure dans Windows 10

Alors que de nombreux utilisateurs migrent actuellement de Windows 7, que Microsoft ne mettra plus à jour à l'avenir, vers Windows 10, l'agence américaine en charge du renseignement électronique (NSA) a fait savoir à l’entreprise qu’elle a découvert une faille de sécurité majeure dans son système d’exploitation. Des millions de machines sont potentiellement concernées.

La vulnérabilité provient d'un bug au sein d'un élément cryptographique de Windows, baptisé CryptoAPI et utilisé depuis des décennies. L'une de ses fonctionnalités est la signature d'un logiciel par son auteur, qui garantit son authenticité. La faille permet à d'éventuels malfaiteurs de fausser une signature, et donc de faire passer un fichier vérolé comme sain. La firme de Redmond a sorti mardi 14 janvier 2020 une mise à jour pour corriger la vulnérabilité, précisant qu’"aucune exploitation de cette faille n’a été constatée à ce jour".

Falsifier une SIGNATURE NUMéRIQUE

L'Université Carnegie-Mellon, en Pennsylvanie (Etats-Unis), a étudié le bug et estimé qu’il permettait "l’interception et la modification de communications usant les protocoles HTTPS et TLS". Microsoft souligne de son côté que "l’utilisateur n’aurait eu aucun moyen de savoir si un fichier est infecté, puisque la signature numérique de ce dernier inspirait confiance". L’an dernier, une cyberattaque de ce type a permis à des individus malintentionnés de falsifier la signature utilisée par le constructeur Asus pour son outil de mises à jour logicielles. Les données de plusieurs centaines de milliers de clients de la marque taïwanaise auraient ainsi été compromises.

La menace a été jugée "sérieuse" par Microsoft, qui l’a donc depuis corrigée par le biais d’une mise à jour système. Si la NSA en a informé l’entreprise il y a quelques jours seulement, combien de temps s’est-il véritablement écoulé depuis la découverte ? L’agence fédérale a, en effet, un certain nombre de critiques à son actif. Par le passé, il lui a déjà été reproché d’exploiter au maximum les vulnérabilités qu’elle découvre à des fins d’espionnage avant de les signaler. Peut être cité l’exemple du ransomware WannaCry, qui a été conçu à partir d'une vulnérabilité utilisée par la NSA pour son programme EternalBlue, qui a servi de porte dérobée pour faire de l'espionnage pendant des années. Cette vulnérabilité est toujours utilisée par des pirates pour extorquer de l’argent à leurs victimes.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS