Dans son patch de sécurité mensuel, Microsoft a réparé 49 failles de sécurité sur Windows 10. La plus critique d'entre elles, commune à Windows 10 et Windows Server 2016 et 2019, est tellement importante que la NSA a décider d'en parler publiquement.

Les 900 millions d’utilisateurs de Windows 10, sont exposés à une faille critique. La menace concerne plus de 85 % du parc mondial d’ordinateurs, et de très nombreux serveurs d’entreprise. Sur votre ordinateur particulier, comme sur celui de votre entreprise, il faut télécharger le dernier patch de sécurité émis par Microsoft hier, mardi 14 janvier 2020.

La faille la plus dangereuse se situe dans les couches basses de Windows, depuis plus de 20 ans. Mais toutes les versions de Windows ne sont pas vulnérables : elle concerne Windows 10, Windows Server 2016 et Windows Server 2019.

Microsoft a affirmé dans un communiqué qu’il n’avait pas trouvé de trace d’exploitation de la vulnérabilité. D’après Forbes, le patch correctif aurait, dans un premier temps, été envoyé discrètement aux instances miliaires U.S. ainsi qu’aux sites d’infrastructures internet de haute niveau. Une véritable preuve de sa dangerosité.

Le siège de la NSA, à Fort Meade, dans le Maryland // Source : NSA

Risque de déchiffrement de données et d’installation de malwares

C’est la National Security Agency (NSA), qui a révélé à Windows l’existence de la faille. Elle se situe dans les couches basses du logiciel de Microsoft, et affecte la cryptographie. Son exploitation consiste à corrompre une librairie logicielle nommée crypt32.dll, qui joue un rôle essentiel dans le fonctionnement de Microsoft CryptoAPI. Concrètement, ce composant du code de Windows permet d’émettre des sortes de cartes d’identité officielles (les certificats) à destinations des programmes créés par les développeurs. Ainsi validés, les programmes apparaissent comme légitimes face aux outils de cybersécurité.

Porte ouverte à l’espionnage

En conséquence, si un acteur malveillant parvenait à exploiter la faille située sur crypt32.dll, il pourrait certifier toutes sortes de logiciels malveillants. Ensuite, ces logiciels lui permettraient de déchiffrer des données sensibles ou encore d’intercepter des communications de toutes sortes, sans risque d’être repéré. Il pourrait ainsi déployer un dispositif d’espionnage parfait.

« Les conséquences du non-réparation de la faille sont sévères et étendues. Des outils d’exploitation de la faille à distance peuvent être rapidement créés, et rendus disponibles à grande échelle. L’adoption rapide du patch est la seule façon de limiter les risque à l’heure actuelle et devrait concentrer l’attention de tous les propriétaires de réseaux », préconise la NSA.

Vers un changement de posture de la NSA ?

C’est la première fois que la NSA s’exprime publiquement au sujet d’une faille affectant d’un vendeur de logiciel. Le caractère exceptionnel de la communication marque la dangerosité de la vulnérabilité, mais aussi un changement de posture politique de l’agence.

La NSA souhaite se rapprocher de la communauté des chercheurs en cybersécurité, pour tenter de compenser ses pratiques décriées. Lorsqu’elle découvre une faille 0-day [inconnue auparavant, ndlr], elle a pour habitude de l’utiliser à des fins d’espionnage. Cette pratique a récemment mené au désastre WannaCry. Pendant plus de cinq ans, la NSA a exploité une faille critique de Windows grâce à un logiciel maison nommé Eternal Blue… jusqu’au jour où un groupe de hackers malveillant est parvenu à mettre la main dessus et l’a diffusé. La faille, rendue publique, avait été corrigée en 2017, mais certains utilisateurs de Windows qui ne mettent pas à jour leurs systèmes y sont toujours vulnérables.

Éviter un WannaCry bis

Anne Neuberger, la directrice de la branche cybersécurité de l’agence, a donc précisé que cette fois, la NSA n’avait pas exploité la faille avant de la communiquer à Windows. Sans utiliser à son compte l’outil d’exploitation de la faille, l’agence gouvernementale espère que les hackers ne parviendront pas à l’exploiter. Une façon d’éviter un WannaCry bis.

D’après le Bleeping Computer, la dirigeante a confirmé la volonté de l’agence de partager avec ses partenaires plus de données sur les vulnérabilités, au lieu de les accumuler pour les utiliser plus tard dans des opérations offensives. Elle souhaite ainsi « construire la relation de confiance » avec les communautés de la cyber sécurité et le secteur privé.
D’après le journaliste spécialisé Brian Krebs, ce premier pas ferait partie d’une nouvelle initiative, baptisée « Turn a New Leaf ». Grâce à ce programme, la NSA ferait profiter de ses compétences de recherche en cybersécurité aux principaux vendeurs de logiciel. Par effet domino, elle protègerait les entreprises et le grand public.

Il faut passer sur Windows 10 et le mettre à jour régulièrement

D’autres vulnérabilités présentes sur Windows 7, devraient vous convaincre (ainsi que 32 % des propriétaires d’ordinateur) de passer à Windows 10 ou un autre OS (Mac OS, Linux…). Le patch du 14 janvier était la dernière mise à jour de sécurité de Windows 7 : cela signifie que si une telle faille est repérée à l’avenir, elle ne sera pas réparée sur Windows 7. Vos systèmes seront donc complètement vulnérables aux attaques, avec des conséquences désastreuses : pertes de données, abus d’identité, vol d’argent…

À partir du patch de réparation d’une faille, les hackers malveillants peuvent relativement simplement créer un outil pour l’exploiter sur les systèmes non-protégés. C’est pourquoi il est essentiel de se mettre à jour dès la sortie du patch.

Article mise à jour le 21 janvier 2020 à 10h30 : la faille n’est exploitable que sur Windows 10 et Windows Server, contrairement à ce qu’indiquait l’article initial. 

Crédit photo de la une : Microsoft

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux