Mardi 14 janvier, le Washington Post publiait un rapport sur une faiblesse de sécurité affectant Windows 10 dans toutes ses versions et Windows Server 2016. Cette faille aurait été découverte par l’Agence de sécurité nationale des États-Unis (NSA), qui la signalait tout de suite à Microsoft afin qu’ils puissent chercher une solution véloce.
D’après les informations confirmées par la directrice de la NSA, Anne Neuberger, le fichier pourrait même se faire passer par une mise à jour de Windows 10 et déverrouiller les ordinateurs Windows. Depuis, la faille fut déclarée comme « critique ».
La notification fut un geste inhabituel de l’agence gouvernementale qui garde normalement ce type d’informations pour soi afin de les exploiter, comme fut le cas du fameux malware WannaCry en 2017. Le nouveau rapport de la NSA fut même rendu public, après quelque temps.
Notifiés à l’avance cette fois-ci, Microsoft confirmait à son tour la vulnérabilité de ses deux systèmes d’exploitation et en rajoutait un autre, Windows Server 2019. La compagnie américaine a dès lors publié les patchs correctifs pour chaque OS, qu’elle recommande d’installer au plus tôt.
La faille serait une vulnérabilité de phishing affectant Windows CryptoAPI (Cryptographic Application Programming Interface et le fichier associé Crypt32.dll), qui provoque la validation des certificats de cryptographie à courbe elliptique (ECC).
Autrement dit, cet exploit permet à un attaquant d’usurper l’identité digitale en falsifiant ses signatures cryptographiques, faisant passer le malware pour une application légitime. Un faux certificat signalant que le fichier est d’origine fiable et légitime permettrait l’exécutable malveillant de se propager. Le système trompé est pratiquement incapable de différencier le fichier comme du malware, car la signature numérique semble être celle d’un fournisseur de confiance. Les logiciels antivirus ne pourraient pas l’identifier non plus.
Ainsi, le fichier serait capable d’imiter des applications Windows 10 et Server 2016 ainsi que décrypter les informations confidentielles des utilisateurs fournies sur elles : des mots de passe ou des comptes de banque, par exemple. Ces attaques du type « man-in-the-middle » sont généralement utilisées pour « lire » les données personnelles fournies dans les sessions web chiffrées des navigateurs.
Pour sa part la société de sécurité de Brian Krebs, chercheur très reconnu en sécurité, a classé cette vulnérabilité comme « significative » au « Niveau 1 » , le deuxième le plus sérieux dans son rang. Le Computer Emergency Response Team français (CERT FR), auprès du Secrétariat général de la défense nationale, publiait aussi un Bulletin d’alerte pour prevenir aux usagers francophones de la faille. De l’autre côté, Microsoft assurait que ses systèmes de suivi n’avaient pas pris connaissance d’aucun cas d’exploitation du bogue.
Des correctifs fournis par le géant informatique sont désormais disponibles, les premiers à les recevoir étant l’armée américaine ainsi que d’autres clients et cibles d’intérêt national comme les entreprises qui gèrent l’infrastructure d’Internet. Tous eux auraient testé les patches dès lors. Depuis, tous les clients Microsoft ont reçu la mise à jour « CVE-2020-0601 », disponible soit dans le même système d’exploitation ou sur le site web de Windows.
Dans un petit tour d’ironie, Windows 7, le OS sortant qui avait reçu son dernier patch de sécurité officiel le même jour de la nouvelle et qui serait censé être plus vulnerable aux attaques, resulta inmune aux trouvailles de la NSA. Windows XP le serait de même.
Source de l’image : tech.co