La National Security Agency a découvert une faille de sécurité majeure dans le système d'exploitation Windows 10 de Microsoft qui pourrait permettre aux pirates d'intercepter des communications apparemment sécurisées.

Mais plutôt que d'exploiter la faille pour ses propres besoins de renseignement, la NSA a averti Microsoft afin qu'elle puisse réparer le système pour tout le monde.

Microsoft a publié mardi un correctif logiciel gratuit pour corriger la faille et a crédité l'agence de l'avoir découverte. La société a déclaré n'avoir vu aucune preuve que des pirates aient utilisé la technique découverte par la NSA.

Amit Yoran, PDG de la société de sécurité Tenable, a déclaré qu'il est "exceptionnellement rare, voire sans précédent" pour le gouvernement américain de partager sa découverte d'une vulnérabilité aussi critique avec une entreprise.

Yoran, qui était l'un des directeurs fondateurs de l'équipe de préparation aux urgences informatiques du Department of Homeland Security, a exhorté toutes les organisations à donner la priorité à la mise à jour rapide de leurs systèmes.

Un avis envoyé par la NSA mardi a déclaré que "les conséquences de ne pas corriger la vulnérabilité sont graves et généralisées".

Microsoft a déclaré qu'un attaquant pourrait exploiter la vulnérabilité en usurpant un certificat de signature de code afin qu'il semble qu'un fichier provienne d'une source fiable.

"L'utilisateur n'aurait aucun moyen de savoir que le fichier est malveillant, parce que la signature numérique semble provenir d'un fournisseur de confiance, ", a déclaré l'entreprise.

S'il est exploité avec succès, un attaquant aurait pu mener des "attaques de l'homme du milieu" et décrypter des informations confidentielles sur les connexions des utilisateurs, dit la compagnie.

Certains ordinateurs recevront le correctif automatiquement si l'option de mise à jour automatique est activée. D'autres peuvent l'obtenir manuellement en accédant à Windows Update dans les paramètres de l'ordinateur.

Microsoft publie généralement des mises à jour de sécurité et autres une fois par mois et a attendu jusqu'à mardi pour divulguer la faille et l'implication de la NSA. Microsoft et la NSA ont tous deux refusé de dire quand l'agence a informé l'entreprise.

L'agence a partagé la vulnérabilité avec Microsoft "rapidement et de manière responsable, " Neal Ziring, directeur technique de la direction de la cybersécurité de la NSA, a déclaré dans un article de blog mardi.

Priscilla Moriuchi, qui a pris sa retraite de la NSA en 2017 après avoir dirigé ses opérations en Asie de l'Est et dans le Pacifique, a déclaré qu'il s'agissait d'un bon exemple du « rôle constructif » que la NSA peut jouer dans l'amélioration de la sécurité mondiale de l'information. Moriuchi, désormais analyste au sein de la société américaine de cybersécurité Recorded Future, a déclaré que cela reflète probablement les changements apportés en 2017 à la façon dont les États-Unis déterminent s'ils doivent divulguer une vulnérabilité majeure ou l'exploiter à des fins de renseignement.

La refonte de ce que l'on appelle le "Vulnerability Equities Process" a mis davantage l'accent sur la divulgation des vulnérabilités non corrigées dans la mesure du possible pour protéger les principaux systèmes Internet, l'économie américaine et le grand public.

Ces changements se sont produits après qu'un groupe se faisant appeler "Shadow Brokers" a publié une mine d'outils de piratage de haut niveau volés à la NSA.

© 2020 La Presse Associée. Tous les droits sont réservés.