Patch tuesday : la NSA file un sacré un coup de main à Microsoft !

Patch tuesday : la NSA file un sacré un coup de main à Microsoft !

Une conférence de presse de la NSA pour un patch tuesday ? Comme le souligne Brian Krebs, ça n’est sûrement pas une coïncidence. Le journaliste américain avait été l’un des premiers à l’annoncer : le premier patch tuesday de l’année corrige une faille de sécurité importante chez Microsoft.

Celle-ci affecte le composant crypt32.dll, un module qui est utilisé par toutes les versions de Windows pour gérer différentes applications liées à la cryptographie, allant de la gestion des certificats web aux signatures numériques de logiciels.

Comme l’explique le Wahsington Post, cette faille de sécurité permettait de manipuler le mécanisme de signature numérique des logiciels et donc de faire éventuellement passer un logiciel malveillant pour un logiciel légitime aux yeux du système d’exploitation de Microsoft. La faille en question s’est vu attribuer l’identifiant CVE-2020-0601.

publicité

La NSA main dans la main avec Microsoft ? Pas une première

Brian Krebs, qui relatait sur Twitter la conférence de presse de la NSA suite à ce patch tuesday, assure que la faille en question affecte tout particulièrement Windows 10 et Windows Server 2016. Le correctif devrait être diffusé dans les heures à venir, mais selon Brian Krebs, le ministère américain de la Défense aurait eu droit à un patch en avance afin de limiter leur exposition à cette faille.

La NSA a dévoilé l’existence de cette vulnérabilité à Microsoft après l’avoir découverte de leur côté. La NSA indique que ce n’est pas la première fois que l’agence communique une faille de sécurité découverte par ses services à Microsoft, mais que c’est la première fois qu’elle accepte publiquement de reconnaître être à l’origine de la découverte.

L’agence souhaite apparemment changer ses méthodes en matière de communication sur les vulnérabilités qu’elle utilise. L’attitude de la NSA a souvent été critiquée sur ce sujet : si un programme de communication des failles existe, l’agence est fréquemment accusée de garder pour elles les failles de sécurité qu’elle découvre et de ne pas les communiquer à l’éditeur.

Selon Microsoft, aucun attaquant n’a pour l’instant été repéré en train d’exploiter activement cette vulnérabilité. On peut néanmoins imaginer que la NSA a dû en faire bon usage.

Leave a Reply

Your email address will not be published. Required fields are marked *