Au-delà des conflits armés, les plus grandes nations doivent faire face aujourd’hui à une menace encore plus dangereuse : le piratage informatique.
Faire face à ce problème est d’autant plus important que c’est devenu la priorité de la National Security Agency qui, par souci de transparence, a alerté les médias d’un défaut de Windows 10 pouvant affecter plus de 900 millions de PC.
La NSA n’a plus rien à cacher
En effet, Anne Neuberger, Directrice de la cybersécurité de la NSA, a informé la presse d’un bug critique de Windows 10, suite à quoi Microsoft a publié un correctif qui selon elle devrait être mis en œuvre le plus vite possible.
L’ennemi pourrait donc faire usage du bogue pour prendre le contrôle des appareils en sapant les protections cruciales, surtout que le service touché n’est autre que le CryptoAPI, une plateforme de première importance qui permet aux développeurs de Microsoft de signer cryptographiquement les logiciels et les données.
Il est clair que les cybercriminels se précipitent pour se servir de la vulnérabilité afin de créer un outil de piratage. C’est pourquoi une telle anomalie ne peut être que risquée pour les utilisateurs compte tenu du nombre de PC qui fonctionnent avec ce système d’exploitation à l’échelle mondiale.
De son côté, le directeur de la sécurité chez MongoDB et du projet Open Crypto Audit Kenn White explique que si cet élément central devient contestable, les conséquences en seront dramatiques.
Beaucoup se souviennent certainement de Eternal Blue, l’outil de piratage de la NSA qui exploitait secrètement une faille sur Windows et dont l’agence s’était servie à des fins d’espionnage numérique pendant plus de cinq ans au lieu de la dévoiler. Plus tard, l’agence s’était fait voler ce dispositif par les Shadow Brokers.
Une bonne initiative
Par ailleurs, Neurberger affirme que cette fois, la divulgation du bogue de vérification de code montre la volonté de la NSA à partager ses conclusions plus rapidement et plus souvent. Cela ira de pair avec le processus actuel d’équité en matière de vulnérabilité dirigé par le Conseil de Sécurité Nationale.
C’est dans ce sens que l’agence a aussi rendu son rôle public dans cette affaire : elle veut à tout prix garantir l’atténuation des vulnérabilités pour prouver au public qu’elle prend cela bien au sérieux.
Cette décision est compréhensible, surtout lorsque l’on connaît les critiques qui lui étaient faites, même avant le fiasco Eternal Blue, parce qu’elle préférait thésauriser les défauts à son profit plutôt que d’en faire part à la communauté afin de les redresser.
C’est justement dans le but d’améliorer la sécurité interne de la NSA que Neurberger a pris les commandes de la nouvelle cybersécurité. L’une des mesures prises à cet effet a été la publication de l’analyseur Ghidra en tant qu’outil open source, l’année dernière.
Si la NSA n’a pas l’intention d’abandonner complètement son arsenal de renseignements, sa transition vers la transparence est évidemment la bienvenue.
Mais du coup c’est quoi la faille mdr ?