Retour à l'accueil

Blocage de compte VeraCrypt WireGuard Microsoft

Microsoft a bloqué les comptes des développeurs de VeraCrypt, WireGuard et d'autres dans Windows Hardware Program en raison de profils non vérifiés. Cela a paralysé les mises à jour des pilotes, particulièrement critiques pour le chiffrement système VeraCrypt avant la révocation CA-2011. Analyse des risques, compromis et recommandations pour les développeurs.

Microsoft a gelé VeraCrypt et WireGuard : ce qui attend Windows
Advertisement 728x90

Microsoft bloque les développeurs open source : VeraCrypt et WireGuard en danger sous Windows

Microsoft a brusquement suspendu les comptes de développeurs pour des outils open source majeurs — VeraCrypt, WireGuard, MemTest86 et Windscribe — au sein du programme Windows Hardware. Sans une signature numérique valide, les mises à jour des pilotes Windows ne peuvent être diffusées, mettant en péril la sécurité de millions d’utilisateurs. VeraCrypt est particulièrement vulnérable, avec la révocation imminente de son certificat racine datant de 2011.

Chronologie de l’incident

Le 30 mars 2026, le créateur de VeraCrypt, Munir Idrassi, a découvert que son compte était bloqué dans le Microsoft Partner Center. L’appel a été rejeté sans explication. De même, Jason Donenfeld, responsable de WireGuard, n’a pas pu publier une mise à jour — son compte était verrouillé, déclenchant un processus d’appel de 60 jours.

Les développeurs soulignent qu’aucun avertissement préalable n’a été donné. Microsoft a introduit une vérification obligatoire des partenaires à partir du 16 octobre 2025 — délai de 30 jours pour se conformer, suivi d’une suspension automatique. Des courriels auraient été envoyés, mais les destinataires n’ont jamais pu les voir.

Google AdInline article slot

Le vice-président de Microsoft, Scott Hanselman, s’est adressé aux médias après la couverture médiatique, promettant une résolution. À ce jour, les comptes concernés restent inactifs.

Conséquences techniques pour les projets

VeraCrypt : La version 1.26.24 utilise actuellement le certificat de l’autorité de certification racine Microsoft 2011, qui sera révoqué en 2026. Sans un nouveau chargeur de démarrage signé, le chiffrement du disque entier (FDE) échouera sous SecureBoot. Les volumes non système (conteneurs, partitions) sont moins touchés.

WireGuard et Windscribe : Le blocage empêche les correctifs Windows — où la majorité des utilisateurs exécutent ces outils. Une vulnérabilité critique RCE nécessite 60 jours pour être corrigée ; les mises à jour pour Linux et macOS sont déjà disponibles.

Google AdInline article slot

MemTest86 : Les diagnostics de RAM sont menacés — les outils non signés ne lancent pas sur les systèmes avec SecureBoot.

  • Risques majeurs :

- Délais de correction des correctifs dépassant 60 jours

- Échec du chiffrement système de VeraCrypt

Google AdInline article slot

- Dépendance excessive au monopole de signature de pilotes de Microsoft

- Absence d’alertes sur les exigences de vérification

Pourquoi SecureBoot et la signature sont essentiels

Le programme Windows Hardware délivre des certificats de signature de code EV pour les pilotes et chargeurs de démarrage. Sans l’un d’eux, le logiciel échoue aux vérifications SecureBoot — norme sur tous les PC modernes. Microsoft détient les clés racines, rendant les projets open source vulnérables aux erreurs administratives.

Dilemme : commodité de SecureBoot contre flexibilité. Les développeurs doivent dépendre d’un fournisseur dont les processus sont entièrement automatisés, sans surveillance humaine. Cela crée une tension entre sécurité de la chaîne d’approvisionnement et rapidité des mises à jour.

Pour les développeurs expérimentés : cela souligne la nécessité d’une stratégie multiplateforme. Testez les pilotes sous WSL2 ou machines virtuelles ; surveillez les révocations CA via les documents Microsoft.

Recommandations pour les utilisateurs et les équipes DevOps

  • Vérifiez l’état : Pour VeraCrypt, exécutez veracrypt --version. Si la version affichée est 1.26.24, c’est la dernière version signée.
  • Surveillez les mises à jour : Suivez les dépôts SourceForge et GitHub pour les annonces officielles.
  • Alternatives : Utilisez BitLocker (intégré) pour le chiffrement système sous Windows. Pour les VPN, envisagez OpenVPN avec certificats auto-signés — mais comprenez les risques.
  • Stratégie de développement : Mettez en place des pipelines CI/CD avec une option de pilotes non signés pour les tests ; migrez les charges critiques vers Linux.
  • Plan à long terme : Pensez à des matériels sans SecureBoot ou à une firmware UEFI personnalisée pour les environnements de production.

Les versions actuelles fonctionnent encore, mais les vulnérabilités non corrigées augmentent le risque. Pour les utilisateurs de VeraCrypt dépendant du chiffrement système, une surveillance active est essentielle.

Ce qui compte le plus

  • Les suspensions automatiques sans avertissement ont rompu les chaînes de mise à jour pour quatre projets et plus.
  • VeraCrypt est sérieusement menacé : la révocation du certificat CA-2011 brisera le chiffrement SecureBoot sans solution rapide.
  • La dépendance open source au processus de signature de Microsoft représente un risque systémique dans l’écosystème Windows.
  • La pression médiatique a fait bouger les choses, mais les workflows de vérification nécessitent une amélioration urgente.
  • Meilleure pratique : diversifiez les plateformes et suivez activement les révocations de CA.

Leçons plus larges pour l’industrie IT

Cet incident révèle les compromis liés à la signature de code monopolistique : sécurité contre accessibilité. Les projets open source avec des millions d’utilisateurs (VeraCrypt a dépassé 10 millions de téléchargements) ne devraient pas dépendre de processus opaques contrôlés par un seul fournisseur. Des risques similaires existent dans la notarisation Apple et les politiques Google Play.

Pour les développeurs intermédiaires à confirmés : implémentez des alertes pour les listes de révocation de certificats (CRL/OCSP). En production, utilisez des configurations dual-boot ou des alternatives conteneurisées.

— Editorial Team

Advertisement 728x90

Lire ensuite