Microsoft vient de verrouiller le compte développeur de Jason Donenfeld, responsable de la technologie VPN open source largement utilisée, WireGuard. Cela l'a empêché de signer des pilotes et d'envoyer des mises à jour à ceux qui utilisent Windows. Le verrouillage laisse des millions d’utilisateurs exposés à des failles de sécurité potentielles, sans aucun calendrier clair pour leur résolution.
Donenfeldconfirmé le problèmeà TechCrunch, avertissant du danger que cela crée. Selon sa déclaration, si une vulnérabilité critique devait apparaître à long terme, même si ce n’est pas le cas pour le moment, les utilisateurs seraient certainement touchés.
WireGuard alimente certaines des infrastructures de sécurité Internet les plus fiables. Proton VPN, Tailscale et Mullvad s'appuient tous sur son code. Sa simplicité et son solide historique de sécurité en ont fait l’épine dorsale d’innombrables services VPN commerciaux dans le monde. Un verrouillage de compte développeur, aussi banal que cela puisse paraître de la part de Microsoft, entraîne de graves conséquences pour cet écosystème.
La vérification silencieuse de Microsoft prend les développeurs au dépourvu
Le programme matériel Windows de Microsoft a récemment terminé un exercice de vérification obligatoire des comptes exigeant que tous les développeurs inscrits téléchargent une pièce d'identité émise par le gouvernement. Le programme ciblait les partenaires qui n'avaient pas terminé la vérification depuis avril 2024. Les développeurs qui manquaient la fenêtre voyaient leurs comptes suspendus sans avertissement.
Donenfeld n'avait aucune idée que la date limite existait. Microsoft ne lui a rien envoyé ; pas d'email, pas d'alerte, aucune notification d'aucune sorte. "J'ai regardé dans chaque boîte de réception, chaque dossier spam, chaque journal de courrier, zéro, rien, zilch", a-t-il déclaré.
Il n’a découvert cette politique qu’après être tombé sur une page enfouie dans le site Web de Microsoft. À ce moment-là, la fenêtre de vérification était déjà fermée. Son compte a été suspendu et sa capacité à proposer une mise à jour WireGuard en attente aux utilisateurs Windows était morte à l'arrivée.
En revanche,Mises à jour récentes de la politique de confidentialité de Googlese concentrer sur le fait de donner aux utilisateurs de l'extension Chrome plus de contrôle sur leurs données et d'introduire des protections supplémentaires de la vie privée, montrant une approche différente de la gouvernance de la plate-forme qui donne la priorité à la transparence des utilisateurs plutôt qu'à la vérification des développeurs.
Il avait passé des semaines à moderniser le code Windows de WireGuard et était prêt à le soumettre aux contrôles de Microsoft lorsqu'une erreur « accès restreint » a tout arrêté.
Donenfeld a tenté de résoudre la situation via le propre processus de vérification de Microsoft, en effectuant une vérification d'identité auprès du service tiers utilisé par Microsoft. Ce service a confirmé son identité. Microsoft a toujours maintenu son accès suspendu.
Son cas a finalement atteint l'équipe de support exécutif de Microsoft, qui gère les problèmes de compte très médiatisés, mais cette équipe lui a dit que le processus d'examen pourrait prendre jusqu'à 60 jours.
WireGuard n'est pas la seule victime
Le verrouillage de WireGuard n’est pas un cas isolé. Le balayage de vérification de Microsoft a pris d’autres développeurs majeurs dans le même piège.
Le logiciel de cryptage VeraCrypt, sur lequel s'appuient des centaines de milliers d'utilisateurs pour crypter des fichiers et des systèmes d'exploitation entiers, a subi le même sort. Son développeur, Mounir Idrassi, a déclaré à TechCrunch que Microsoft l'avait exclu de son compte sans préavis.
Sa situation est d'autant plus urgente que le verrouillage l'empêche de mettre à jour VeraCrypt avant l'expiration d'une autorité de certification critique. Cette expiration, a-t-il prévenu, pourrait empêcher certains utilisateurs de démarrer entièrement leur système.
Windscribe, une société d'outils VPN et de confidentialité pour les consommateurs, a également confirmé que Microsoft l'avait exclu de son compte Partner Center, bien qu'il détienne un compte vérifié depuis plus de huit ans.
Selon Windscribe sur X, ils ont essayé de résoudre ce problème pendant plus d’un mois, et en vain. Le support est inexistant. "Quelqu'un connaît-il un humain doté d'un cerveau qui travaille toujours chez Microsoft et qui peut aider ?" » demanda Windscribe.
Le programme matériel Windows existe pour une raison légitime. Les pilotes offrent un accès considérable aux fonctions essentielles d’un système d’exploitation, et les pirates les ont toujours exploités pour pirater les systèmes. Restreindre la publication des pilotes aux développeurs approuvés est une politique logique. Cependant, la suspension des comptes sans avertissement compromet les développeurs mêmes qui assurent la sécurité des utilisateurs Windows.
Une résolution partielle émerge mais les dégâts persistent
Mercredi soir, le cas de Donenfeld montrait des signes d’évolution. Il a déclaré à TechCrunch que Microsoft avait finalement pris contact et qu'une solution semblait être à portée de main. Cependant, Microsoft n'a fait aucun commentaire public lorsque TechCrunch l'a contacté.
Les dégâts les plus importants demeurent cependant. Plusieurs projets open source de grande envergure ont perdu des semaines de capacité de mise à jour, laissant leurs utilisateurs incapables de recevoir des correctifs pendant cette fenêtre. Le balayage silencieux de Microsoft a donné la priorité aux formalités de conformité plutôt qu’à la sécurité des millions d’utilisateurs Windows qui dépendent quotidiennement de ces outils.
L'impact est particulièrement important pour les utilisateurs de WireGuard car leavantages de vitesse du protocoleen ont fait le choix préféré des utilisateurs soucieux de leur confidentialité qui ne veulent pas sacrifier les performances, et tout retard dans les mises à jour pourrait rendre ces utilisateurs vulnérables.
Pour Donenfeld et la communauté open source au sens large, l’épisode souligne une réalité fragile ; un changement de politique, un e-mail manqué, une fenêtre de vérification fermée et un logiciel critique cesse de fonctionner.
