Recevez chaque jour toute l'actualité du numérique

x

Informé par la NSA, Microsoft corrige une faille de sécurité majeure dans Windows 10

L’agence américaine en charge du renseignement électronique (NSA) a découvert une faille de sécurité majeure dans Windows 10. Informé, Microsoft a mis son système d’exploitation à jour dans la foulée. Cette vulnérabilité concerne les signatures logicielles, qui intervient alors que de nombreux utilisateurs migrent actuellement depuis Windows 7, arrivé en fin de vie.
Twitter Facebook Linkedin Flipboard Email
×

Informé par la NSA, Microsoft corrige une faille de sécurité majeure dans Windows 10
Informé par la NSA, Microsoft corrige une faille de sécurité majeure dans Windows 10

Alors que de nombreux utilisateurs migrent actuellement de Windows 7, que Microsoft ne mettra plus à jour à l'avenir, vers Windows 10, l'agence américaine en charge du renseignement électronique (NSA) a fait savoir à l’entreprise qu’elle a découvert une faille de sécurité majeure dans son système d’exploitation. Des millions de machines sont potentiellement concernées.

 

La vulnérabilité provient d'un bug au sein d'un élément cryptographique de Windows, baptisé CryptoAPI et utilisé depuis des décennies. L'une de ses fonctionnalités est la signature d'un logiciel par son auteur, qui garantit son authenticité. La faille permet à d'éventuels malfaiteurs de fausser une signature, et donc de faire passer un fichier vérolé comme sain. La firme de Redmond a sorti mardi 14 janvier 2020 une mise à jour pour corriger la vulnérabilité, précisant qu’"aucune exploitation de cette faille n’a été constatée à ce jour".

 

Falsifier une SIGNATURE NUMéRIQUE

L'Université Carnegie-Mellon, en Pennsylvanie (Etats-Unis), a étudié le bug et estimé qu’il permettait "l’interception et la modification de communications usant les protocoles HTTPS et TLS". Microsoft souligne de son côté que "l’utilisateur n’aurait eu aucun moyen de savoir si un fichier est infecté, puisque la signature numérique de ce dernier inspirait confiance". L’an dernier, une cyberattaque de ce type a permis à des individus malintentionnés de falsifier la signature utilisée par le constructeur Asus pour son outil de mises à jour logicielles. Les données de plusieurs centaines de milliers de clients de la marque taïwanaise auraient ainsi été compromises.

 

La menace a été jugée "sérieuse" par Microsoft, qui l’a donc depuis corrigée par le biais d’une mise à jour système. Si la NSA en a informé l’entreprise il y a quelques jours seulement, combien de temps s’est-il véritablement écoulé depuis la découverte ? L’agence fédérale a, en effet, un certain nombre de critiques à son actif. Par le passé, il lui a déjà été reproché d’exploiter au maximum les vulnérabilités qu’elle découvre à des fins d’espionnage avant de les signaler. Peut être cité l’exemple du ransomware WannaCry, qui a été conçu à partir d'une vulnérabilité utilisée par la NSA pour son programme EternalBlue, qui a servi de porte dérobée pour faire de l'espionnage pendant des années. Cette vulnérabilité est toujours utilisée par des pirates pour extorquer de l’argent à leurs victimes.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media