La NSA a détecté une faille qui touche 900 millions d'utilisateurs de Windows 10

&NewLine;<p class&equals;"wp-block-paragraph">Au-delà des conflits armés&comma; les plus grandes nations doivent faire face aujourd’hui à une menace encore plus dangereuse &colon; le piratage informatique&period; <&sol;p><script type&equals;"text&sol;plain" data-tcf&equals;"waiting-for-consent" data-id&equals;"26251">CjwhLS0gV1AgUVVBRFMgQ29udGVudCBBZCBQbHVnaW4gdi4gMy4wLjMgLS0&plus;CjxkaXYgY2xhc3M9InF1YWRzLWxvY2F0aW9uIHF1YWRzLWFkMjYyNTEgIiBpZD0icXVhZHMtYWQyNjI1MSIgc3R5bGU9ImZsb2F0Om5vbmU7dGV4dC1hbGlnbjpjZW50ZXI7cGFkZGluZzowcHggMCAwcHggMDsiIGRhdGEtbGF6eWRlbGF5PSIwIj4KCjwvZGl2Pgo&equals;<&sol;script>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">Faire face à ce problème est d’autant plus important que c’est devenu la priorité de la National Security Agency qui&comma; par souci de transparence&comma; a alerté les médias d’un défaut de Windows 10 pouvant affecter plus de 900 millions de PC&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<h2 class&equals;"wp-block-heading">La NSA n’a plus rien à cacher<&sol;h2>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">En effet&comma; <a href&equals;"https&colon;&sol;&sol;www&period;nsa&period;gov&sol;news-features&sol;press-room&sol;Article&sol;1977307&sol;nsa-names-anne-neuberger-new-deputy-national-manager&sol;">Anne Neuberger<&sol;a>&comma; Directrice de la cybersécurité de la NSA&comma; a informé la presse d’un bug critique de Windows&nbsp&semi;10&comma; suite à quoi Microsoft a publié un <a href&equals;"https&colon;&sol;&sol;portal&period;msrc&period;microsoft&period;com&sol;en-US&sol;security-guidance&sol;advisory&sol;CVE-2020-0601">correctif <&sol;a>qui selon elle devrait être mis en œuvre le plus vite possible&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">L’ennemi pourrait donc faire usage du bogue pour prendre le contrôle des appareils en sapant les protections cruciales&comma; surtout que le service touché n’est autre que le <a href&equals;"https&colon;&sol;&sol;docs&period;microsoft&period;com&sol;fr-fr&sol;windows&sol;win32&sol;seccng&sol;cng-portal">CryptoAPI<&sol;a>&comma; une plateforme de première importance qui permet aux développeurs de Microsoft de signer cryptographiquement les logiciels et les données&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">Il est clair que les cybercriminels se précipitent pour se servir de la vulnérabilité afin de créer un outil de piratage&period; C’est pourquoi une telle anomalie ne peut être que risquée pour les utilisateurs compte tenu du <a href&equals;"https&colon;&sol;&sol;netmarketshare&period;com&sol;operating-system-market-share&period;aspx&quest;options&equals;&percnt;7B&percnt;22filter&percnt;22&colon;&percnt;7B&percnt;22&dollar;and&percnt;22&colon;&percnt;5B&percnt;7B&percnt;22deviceType&percnt;22&colon;&percnt;7B&percnt;22&dollar;in&percnt;22&colon;&percnt;5B&percnt;22Desktop&sol;laptop&percnt;22&percnt;5D&percnt;7D&percnt;7D&percnt;5D&percnt;7D&comma;&percnt;22dateLabel&percnt;22&colon;&percnt;22Trend&percnt;22&comma;&percnt;22attributes&percnt;22&colon;&percnt;22share&percnt;22&comma;&percnt;22group&percnt;22&colon;&percnt;22platformVersion&percnt;22&comma;&percnt;22sort&percnt;22&colon;&percnt;7B&percnt;22share&percnt;22&colon;-1&percnt;7D&comma;&percnt;22id&percnt;22&colon;&percnt;22platformsDesktopVersions&percnt;22&comma;&percnt;22dateInterval&percnt;22&colon;&percnt;22Monthly&percnt;22&comma;&percnt;22dateStart&percnt;22&colon;&percnt;222019-01&percnt;22&comma;&percnt;22dateEnd&percnt;22&colon;&percnt;222019-12&percnt;22&comma;&percnt;22segments&percnt;22&colon;&percnt;22-1000&percnt;22&percnt;7D">nombre de PC qui fonctionnent<&sol;a> avec ce système d’exploitation à l’échelle mondiale&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">De son côté&comma; le directeur de la sécurité chez MongoDB et du projet Open Crypto Audit <a href&equals;"https&colon;&sol;&sol;www&period;usenix&period;org&sol;conference&sol;enigma2020&sol;speaker-or-organizer&sol;kenn-white-mongodb">Kenn White<&sol;a> explique que si cet élément central devient contestable&comma; les conséquences en seront dramatiques&period;<&sol;p><script type&equals;"text&sol;plain" data-tcf&equals;"waiting-for-consent" data-id&equals;"26257">CjwhLS0gV1AgUVVBRFMgQ29udGVudCBBZCBQbHVnaW4gdi4gMy4wLjMgLS0&plus;CjxkaXYgY2xhc3M9InF1YWRzLWxvY2F0aW9uIHF1YWRzLWFkMjYyNTcgIiBpZD0icXVhZHMtYWQyNjI1NyIgc3R5bGU9ImZsb2F0Om5vbmU7dGV4dC1hbGlnbjpjZW50ZXI7cGFkZGluZzowcHggMCAwcHggMDsiIGRhdGEtbGF6eWRlbGF5PSIwIj4KCjwvZGl2Pgo&equals;<&sol;script>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">Beaucoup se souviennent certainement de <a href&equals;"https&colon;&sol;&sol;www&period;wired&period;com&sol;story&sol;eternalblue-leaked-nsa-spy-tool-hacked-world&sol;">Eternal Blue<&sol;a>&comma; l’outil de piratage de la NSA qui exploitait secrètement une faille sur Windows et dont l’agence s’était servie à des fins d’espionnage numérique pendant plus de cinq ans au lieu de la dévoiler&period; Plus tard&comma; l’agence s’était fait voler ce dispositif par les <a href&equals;"https&colon;&sol;&sol;www&period;theatlantic&period;com&sol;technology&sol;archive&sol;2017&sol;05&sol;shadow-brokers&sol;527778&sol;">Shadow Brokers<&sol;a>&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<figure class&equals;"wp-block-image size-large"><img src&equals;"https&colon;&sol;&sol;ohchouette&period;com&sol;wp-content&sol;uploads&sol;IMG-15-16012020-10-18-919074&period;jpg" alt&equals;"" class&equals;"wp-image-20222"&sol;><figcaption>Tadas Sar &sol; Unsplash<&sol;figcaption><&sol;figure>&NewLine;&NewLine;&NewLine;&NewLine;<h2 class&equals;"wp-block-heading">Une bonne initiative<&sol;h2>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">Par ailleurs&comma; Neurberger affirme que cette fois&comma; la divulgation du bogue de vérification de code montre la volonté de la NSA à partager ses conclusions plus rapidement et plus souvent&period; Cela ira de pair avec <a href&equals;"https&colon;&sol;&sol;www&period;wired&period;com&sol;story&sol;vulnerability-equity-process-charter-transparency-concerns&sol;">le processus actuel d’équité<&sol;a> en matière de vulnérabilité dirigé par le Conseil de Sécurité Nationale&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">C’est dans ce sens que l’agence a aussi rendu son rôle public dans cette affaire&nbsp&semi;&colon; elle veut à tout prix garantir l’atténuation des vulnérabilités pour prouver au public qu’elle prend cela bien au sérieux&period;<&sol;p><script type&equals;"text&sol;plain" data-tcf&equals;"waiting-for-consent" data-id&equals;"26258">CjwhLS0gV1AgUVVBRFMgQ29udGVudCBBZCBQbHVnaW4gdi4gMy4wLjMgLS0&plus;CjxkaXYgY2xhc3M9InF1YWRzLWxvY2F0aW9uIHF1YWRzLWFkMjYyNTggIiBpZD0icXVhZHMtYWQyNjI1OCIgc3R5bGU9ImZsb2F0Om5vbmU7dGV4dC1hbGlnbjpjZW50ZXI7cGFkZGluZzowcHggMCAwcHggMDsiIGRhdGEtbGF6eWRlbGF5PSIwIj4KCjwvZGl2Pgo&equals;<&sol;script>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">Cette décision est compréhensible&comma; surtout lorsque l’on connaît <a href&equals;"https&colon;&sol;&sol;www&period;wired&period;com&sol;2014&sol;04&sol;obama-zero-day&sol;">les critiques<&sol;a> qui lui étaient faites&comma; même <a href&equals;"https&colon;&sol;&sol;www&period;wired&period;com&sol;2014&sol;11&sol;michael-daniel-no-zero-day-stockpile&sol;">avant<&sol;a> le fiasco Eternal Blue&comma; parce qu’elle préférait thésauriser les défauts à son profit plutôt que d’en faire part à la communauté afin de les redresser&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">C’est justement dans le but d’améliorer la sécurité interne de la NSA que Neurberger a pris les commandes de la nouvelle cybersécurité&period; L’une des mesures prises à cet effet a été la publication de l’<a href&equals;"https&colon;&sol;&sol;www&period;wired&period;com&sol;story&sol;nsa-ghidra-open-source-tool&sol;">analyseur Ghidra<&sol;a> en tant qu’outil open source&comma; l’année dernière&period;<&sol;p>&NewLine;&NewLine;&NewLine;&NewLine;<p class&equals;"wp-block-paragraph">Si la NSA n’a pas l’intention d’abandonner complètement son arsenal de renseignements&comma; sa transition vers la transparence est évidemment la bienvenue&period;<br><&sol;p>&NewLine;<script type&equals;"text&sol;plain" data-tcf&equals;"waiting-for-consent" data-id&equals;"26295">CjwhLS0gV1AgUVVBRFMgQ29udGVudCBBZCBQbHVnaW4gdi4gMy4wLjMgLS0&plus;CjxkaXYgY2xhc3M9InF1YWRzLWxvY2F0aW9uIHF1YWRzLWFkMjYyOTUgIiBpZD0icXVhZHMtYWQyNjI5NSIgc3R5bGU9ImZsb2F0Om5vbmU7dGV4dC1hbGlnbjpjZW50ZXI7cGFkZGluZzowcHggMCAwcHggMDsiIGRhdGEtbGF6eWRlbGF5PSIwIj4KCjwvZGl2Pgo&equals;<&sol;script><&sol;p>&NewLine;