Le chercheur en sécurité Brian Krebs a émis une alerte sur son blog concernant une faille majeure touchant l’ensemble des versions de Windows. Selon lui, Microsoft aurait déjà proposé un correctif à l’armée américaine et à certaines grandes entreprises sous embargo. En effet, l’éditeur devrait profiter du Patch Tuesday pour corriger cette vulnérabilité critique. Celle-ci impliquerait crypt32.dll, qui contrôle « les fonctions de certificat et de chiffrement des messages dans CryptoAPI ». Cette dernière donne aux développeurs des services sécurisant les applications Windows via du chiffrement et inclut des fonctionnalités pour chiffrer et déchiffrer les données en utilisant des certificats numériques.
Une telle faille impacterait l’authentification des versions PC et serveur de Windows, la protection des données sur les navigateurs IE et Edge, mais aussi des outils tiers. A travers cette faiblesse, des pirates pourrait aussi usurper la signature numérique d’une partie d’un logiciel, donnant ainsi la possibilité qu’un malware soit jugé comme une application légitime par le PC.
Dernier Patch Tuesday pour Windows 7
En plus de Brian Krebs, Will Dormann analyste au CERT/CC, a tweeté que « les gens devraient peut-être faire très attention à installer les mises à jour du Patch Tuesday de Microsoft dans un délai rapide. Je ne sais pas … appelez-cela une intuition ». En complément, Brian Krebs signale également que la NSA doit organiser une conférence téléphonique le 14 janvier sur un problème actuel de cybersécurité.
Les rumeurs autour de ce bug majeur interviennent au même moment que la fin du support Windows 7. Le Patch Tuesday du 14 janvier sera l’ultime mise à jour de sécurité pour le vénérable OS. L’éditeur devrait en profiter pour rappeler aux utilisateurs de Windows 7 l’importance de migrer rapidement vers Windows 10.