Une faille aurait pu ébranler un mécanisme de confiance clé, et une agence d'espionnage a pris une mesure inhabituellement publique pour le signaler
Qu'est-il arrivé ?
L'agence de sécurité nationale américaine a découvert une faille de sécurité majeure dans le système d'exploitation Windows 10 de Microsoft et a informé la société. Microsoft a conçu un correctif logiciel en conséquent et a crédité l'agence pour avoir trouvé la faille.
Pourquoi était-ce si important ?
Deux raisons. Tout d'abord, un attaquant aurait pu exploiter cette vulnérabilité en « usurpant » un certificat de signature de code - en contrefaisant un mécanisme d'approbation de clé - de sorte qu'il semblait qu'un fichier provenait d'une source fiable. La société a déclaré : « L'utilisateur n'aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semble provenir d'un fournisseur de confiance ».
Deuxièmement, la NSA a choisi de révéler publiquement la vulnérabilité au plus grand fabricant de logiciels au monde plutôt que d'exploiter la faille afin de recueillir des informations sur les menaces contre les États-Unis. L'agence d'espionnage a déclaré: « La NSA a contribué à résoudre ce problème en découvrant et en caractérisant la vulnérabilité, puis en partageant avec Microsoft de manière rapide et responsable. »
Luis Corrons, évangéliste de la sécurité chez Avast, a déclaré que cette combinaison de facteurs rendait l'incident remarquable. « La vulnérabilité était grave et la déclaration de la NSA était inhabituelle dans sa transparence. La combinaison de ces deux choses fait de cette histoire quelque chose d'unique. Franchement, c'est ainsi que les choses sont censées fonctionner. Le public a le droit de savoir et de comprendre ce type de risque - et ce que le gouvernement et les entreprises font pour le contrer. »
« Franchement, c'est ainsi que les choses sont censées fonctionner. Le public a le droit de connaître et de comprendre ce type de risque - et ce que le gouvernement et les entreprises font pour le contrer. » - Luis Corrons, évangéliste de la sécurité chez Avast
Est-ce différent des procédures NSA antérieures ?
Oui. Les experts disent que cela reflète probablement les changements apportés en 2017 pour mettre davantage l'accent sur la divulgation des vulnérabilités pour protéger les principaux systèmes Internet. Ces changements sont survenus en 2017 après que la confiance dans la NSA a été endommagée lorsqu'un groupe de piratage a publié des outils de piratage de haut niveau qui avaient été volés à la NSA. Cette version d'outils a obligé des entreprises, dont Microsoft, à réparer leurs systèmes.
Microsoft a-t-il dit que la vulnérabilité n'était pas aussi importante que la NSA le prétendait ?
Non, mais le fabricant de logiciels a jugé la faille « importante » plutôt que « critique », notant qu'elle n'a pas été exploitée à la connaissance de l'entreprise. La NSA a déclaré : « Cette vulnérabilité peut ne pas sembler impressionante, mais c'est un problème critique. Les mécanismes de confiance sont les fondements sur lesquels Internet fonctionne. » Certains disent que c'était une divergence entre les deux organisations, d'autres ont noté que Microsoft a classé les autres menaces majeures comme étant seulement « importantes ».
Que devrais-je faire ?
Vous devez toujours installer les mises à jour du système d'exploitation pour vous assurer que votre ordinateur dispose des logiciels et de la sécurité les plus récents. Microsoft propose des conseils afin de vérifier si votre ordinateur est à jour et comment le configurer pour recevoir des mises à jour automatiques. La NSA contient également des conseils pour les administrateurs système qui répondent à cette menace spécifique pour Windows 10.
Si vous n'utilisez pas actuellement d'antivirus, profitez-en pour découvrir Avast Antivirus Gratuit , le seul antivirus gratuit primé suffisamment puissant pour protéger une communauté mondiale de centaines de millions d'utilisateurs. Voyez également comment Avast se compare à la concurrence dans ce rapport comportant les meilleurs logiciels antivirus gratuits.