La National Security Agency (NSA), l’agence de renseignement électronique et de défense des systèmes d’information du gouvernement américain, a divulgué à Microsoft une vulnérabilité de sécurité de Windows, référence CVE-2020-0601 et CERTFR-2020-ALE-004.

Elle affecte la façon dont la CryptoAPI de Windows (Crypt32.dll) valide les certificats basés sur le chiffrement par courbes elliptiques.

Un attaquant pourrait l’exploiter afin de signer un logiciel malveillant avec un faux certificat, donnant l’impression que le fichier provient d’une source légitime, en laquelle on a confiance. L’utilisatrice ou l’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, puisque la signature numérique apparaîtrait comme celle d’un fournisseur de confiance.

Cette vulnérabilité affecte presque toutes les versions de Windows 10, Windows Server 2016 et Windows Server 2019.

D’après Microsoft, rien ne laisse à penser que la faille ait été exploitée à ce jour.

La NSA affirme que ce n’est pas la première fois qu’elle alerte Microsoft sur une vulnérabilité de sécurité, mais pour la première fois, elle accepte d’être nommée comme source.

La NSA a organisé une conférence de presse sur la faille de sécurité, et publié un communiqué de presse, ce qui est inédit.

Rappelons que la NSA a le devoir légal d’informer les éditeurs de logiciels des vulnérabilités de sécurité qu’elle découvre.

Il est acquis que c’est rarement le cas, et que l’organisation, comme sans doute la plupart des autres agences de renseignement, préfère les garder pour elle, ce qui constitue un arsenal d’armes cyber.

On peut se demander depuis quand la NSA a découvert la faille CVE-2020-0601, qui affecte Windows 10 depuis juillet 2015, et pourquoi elle a mis tant de temps à la divulguer.

La faille est corrigée dans un correctif de sécurité disponible par Windows Update depuis quelques heures. Il est fortement recommandé de l’installer au plus vite, car la mise à jour contient des correctifs pour des vulnérabilités critiques (CERTFR-2020-ALE-005) de RDP (bureau à distance), .NET et Internet Explorer.