La NSA (National Security Agency) est réputée pour sa discrétion et son utilisation des failles logicielles. Pourtant, l’agence de sécurité américaine a pris la peine de prévenir l’éditeur de Windows Server que les versions 2016 et 2019 offraient un sérieux trou de sécurité, également présent dans Windows 10. Et elle s’est même offerte le luxe de communiquer publiquement sur le sujet.
La NSA a en effet découvert une vulnérabilité dans la fonctionnalité de chiffrement au cœur du système, la CryptoAPI. Microsoft a confirmé le problème, et publié un correctif disponible depuis mardi 14 janvier (à l’occasion du traditionnel Patch Tuesday mensuel) pour l’ensemble des utilisateurs. Sans ce patch, un pirate pourrait soit usurper un certificat de signature de code et donc se faire passer pour un éditeur tout à fait honnête, soit mettre en place une attaque de type « man in the middle » et accéder aux données transmises.
Qu’un grand éditeur ait laissé passer un tel bug dans une API aussi fondamentale de son système est certes inquiétant mais pas inhabituel. Ce qui l’est beaucoup plus en revanche, c’est qu’une des organisations américaines les plus discrètes, pour ne pas dire opaques, se mette à transmettre des informations qui la priveront d’une partie de ses modes d’actions informatiques usuels. La NSA est en effet soupçonnée d’avoir contribué de près ou de loin à des attaques informatiques et à la conception de cyber-armes en s’appuyant sur des vulnérabilités zero day.
Et il est tout aussi inhabituel que la directrice de la cyber sécurité prenne la parole devant la presse pour affirmer que ses services n’ont pas exploité la vulnérabilité … Une prise de position publique censée rassurer sur la volonté de transparence de l’agence fort malmenée depuis l’affaire Snowden. Certes, la faille est majeure, mais certains y voient une manœuvre cachée de la NSA, un arbre qui cache la forêt. L’histoire restera cependant dans les annales comme une première….