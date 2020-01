Photo de Bigstock / EricBVD

Aujourd’hui est le dernier jour pour les mises à jour de sécurité publique pour Windows 7. C’est aussi le jour où, comme le rapporte le rédacteur en chef de la sécurité Brian Krebs, la National Security Agency (NSA) des États-Unis a décidé de «tourner une nouvelle feuille» et de jouer le rôle plus traditionnel de reporter la vulnérabilité à un fournisseur et en obtenir le crédit. Plus précisément, la NSA aurait divulgué CVE-2020-0601, une vulnérabilité critique que Microsoft corrige aujourd’hui et qui affecte la cryptographie dans Windows 10 et Windows Server 2016. Mise à jour: La NSA a publié mardi un avis officiel sur la vulnérabilité.

Ironiquement, en ce dernier jour de mises à jour de sécurité pour Windows 7, le système d’exploitation en retraite n’est pas affecté par cette vulnérabilité, peut-être l’une des plus importantes depuis un certain temps.

Il est important sur le plan technique, permettant à quelqu’un de créer un certificat de signature de code usurpé. Cela signifie que quelqu’un peut faire ressembler un code malveillant à un code légitime et fiable. Il existe également un risque que cela puisse être utilisé pour des attaques «homme au milieu» (MitM). Il s’agit essentiellement d’attaques dans lesquelles un attaquant est capable «d’écouter» le trafic réseau que les gens croient crypté.

La vulnérabilité est plus importante, cependant, en raison de qui l’a trouvée et de la façon dont elle a été gérée. Il s’agit de la première vulnérabilité que la NSA a découverte, portée à la connaissance du fournisseur et reconnue publiquement comme le «chercheur». Ceci est important et représente un acte important de la NSA pour «se débrouiller» avec la communauté de la recherche en sécurité et ses pratiques. .

Le président de Microsoft, Brad Smith, dans son appel à une «Convention de Genève numérique», a déclaré que les gouvernements «devraient obliger les gouvernements à signaler les vulnérabilités aux fournisseurs plutôt que de les stocker, de les vendre ou de les exploiter».

Le ver informatique Stuxnet, exploitant une vulnérabilité de Windows, serait l’œuvre des agences de renseignement américaines et israéliennes.

L’action d’aujourd’hui de la NSA, et le choix de l’agence d’appeler cette approche «Turning a New Leaf», semblerait indiquer que le gouvernement américain approuve au moins quelque peu tacitement cette approche. Seul l’avenir montrera si cette tendance se poursuit, mais c’est un début prometteur.

Krebs a noté que la NSA a recommandé ce qui équivaut à une approche de triage si les organisations ne peuvent pas corriger rapidement et largement. Plus précisément, ils ont suggéré de hiérarchiser les systèmes critiques et plus exposés comme ceux qui effectuent la validation TLS, les contrôleurs de domaine, les serveurs DNS ou les serveurs VPN. En les ciblant en premier, les organisations peuvent minimiser leurs risques et leur exposition. Ce sont des recommandations solides.

En outre, une source chez Microsoft note que Windows Defender a une grande couverture sur cette vulnérabilité, ce qui signifie qu’il existe déjà des protections en place dans le système d’exploitation pour se protéger contre les tentatives d’attaque de cette vulnérabilité.