Microsoft publie un correctif de sécurité Windows critique après un conseil de la NSA américaine

WASHINGTON (hooly-tech.com) – Microsoft Corp (MSFT.O), mardi, un important correctif de sécurité a été mis en place après que la National Security Agency des États-Unis a dénoncé l'entreprise à une faille grave dans son système d'exploitation Windows largement utilisé, ont déclaré des responsables.

PHOTO DE FICHIER: Le logo Microsoft est photographié avant le Mobile World Congress à Barcelone, en Espagne, le 24 février 2019. REUTERS / Sergio Perez

Microsoft a déclaré que la faille pourrait permettre à un pirate de forger des certificats numériques utilisés par certaines versions de Windows pour authentifier et sécuriser les données. L'exploitation de la faille pourrait avoir des conséquences potentiellement graves pour les systèmes et les utilisateurs Windows.

La NSA et Microsoft ont déclaré n'avoir vu aucune preuve que la faille avait été utilisée précédemment, mais tous deux ont exhorté les utilisateurs de Windows à déployer la mise à jour dès que possible. La responsable de la NSA, Anne Neuberger, a noté que les opérateurs de réseaux classifiés avaient déjà été incités à installer la mise à jour et que tout le monde devrait désormais «accélérer la mise en œuvre du correctif».

Le correctif Microsoft marque la première fois que la NSA revendique publiquement le mérite d'avoir incité une mise à jour de sécurité logicielle, bien que l'agence ait déclaré avoir alerté les entreprises par le passé des failles de leurs produits. Neuberger a déclaré que l'agence s'efforçait de renforcer la transparence avec la communauté des chercheurs en sécurité de l'information.

"Une partie de l'établissement de la confiance consiste à montrer les données", a-t-elle déclaré aux journalistes lors d'un appel quelques minutes avant la mise en ligne du correctif.

Les experts ont déclaré que cette décision était sans précédent.

«Je n'avais jamais vu cela auparavant», a déclaré le directeur général de Tenable, Amit Yoran, qui était auparavant directeur fondateur de l'équipe américaine de préparation aux situations d'urgence informatique.

"Je ne peux pas penser à un seul cas où le gouvernement a partagé un jour zéro avec un fournisseur et s'en est attribué le mérite", a-t-il déclaré dans un e-mail.

La NSA est confrontée à un jeu d'équilibre lorsqu'elle rencontre de telles vulnérabilités. L'agence a été critiquée après que ses cyberespions ont profité des vulnérabilités des produits Microsoft pour déployer des outils de piratage contre les adversaires et ont gardé l'entreprise Redmond, basée à Washington, dans l'ignorance pendant des années.

Lorsqu'un de ces outils a été divulgué de manière spectaculaire sur Internet en 2016, il a été déployé contre des cibles du monde entier par des pirates de tous bords.

Dans le cas le plus dramatique, un groupe a utilisé l'outil pour déclencher une épidémie massive de logiciels malveillants baptisée WannaCry en 2017. Le ver d'effacement des données a fait des ravages dans le monde entier, affectant ce qu'Europol estimait à environ 200 000 ordinateurs dans plus de 150 pays.

Neuberger n'a pas abordé directement cette controverse dans son appel, mais a déclaré que la NSA espérait être «un bon partenaire de cybersécurité».

"Nous travaillons pour faire évoluer notre mission", a-t-elle déclaré.

Reportage par Raphael Satter; Montage par Richard Chang, David Gregorio et Cynthia Osterman