La NSA repère une faille dans Windows 10

Mickaël Bazoge |

Voilà qui n'est pas banal : la NSA, les services de renseignements américains, a alerté les médias hier sur une faille de sécurité touchant Windows 10. L'Agence a repéré la vulnérabilité CVE-2020-0601, qui touche crypt32.dll, un module intégré au sein de CryptoAPI, le système en charge du chiffrement des données du système d'exploitation. Microsoft a corrigé la faille via le patch de sécurité de janvier.

En substance, cette faille permet à un malandrin de mener une attaque de type « man-in-the-middle », lui permettant de déchiffrer des informations confidentielles présentes sur le système infecté. Selon la NSA, CVE-2020-0601 affectait Windows 10 et Windows Server 2016/2019, ainsi que les applications qui s'appuient sur ces systèmes pour le chiffrement de leurs données.

Microsoft n'a identifié aucune exploitation de la vulnérabilité, considérée comme « importante » par l'éditeur, mais pas « critique » comme l'estime la NSA. Si on était un peu taquin (ce qui n'est pas notre genre, vous le savez), on dirait que si l'agence avait trouvé un moyen d'exploiter cette faille, sans doute ne l'aurait-elle pas communiquée à Microsoft.

avatar Hideyasu | 

Ça veut dire qu’ils en ont 15 en stock derrière 😂

avatar jackhal | 

Ou qu'ils en ont d'autres en stock, mais surtout qu'ils ont repéré que d'autres utilisaient la faille qu'ils ont signalée.

avatar Ginger bread | 

Ou peut être que la NSA ne veut pas se faire attaquer en retour, ce serait le comble 😂
Après tout elle affecte toutes les versions Windows

avatar occam | 

@Ginger bread

D’après ce que je vois, cette faille compromet à peu près tous les certificats et toute la crypto de l’administration publique US, ainsi que celle de tout un pan de l’économie qui travaille pour le gouvernement.
Le risque est trop gros, et probablement perçu comme tel.

La NSA ne manque sans doute pas de portes d’appoint, même si cette faille est comblée.

avatar cyrcle | 

@occam

Exact !

avatar MarcMame | 

«  Si on était un peu taquin (ce qui n'est pas notre genre, vous le savez), on dirait que si l'agence avait trouvé un moyen d'exploiter cette faille, sans doute ne l'aurait-elle pas communiquée à Microsoft. »

——————-
Ou alors la NSA a attendu la découverte d’une autre faille plus facile à exploiter avant de se faire passer pour un chevalier blanc sur une faille qu’elle n’exploitera plus...

avatar mouahahaha | 

Ou plutôt qu'elle sait que d'autres l'on découverte. :)

avatar occam | 

Petit exercice assez ébouriffant en rapport avec la faille du jour :
https://news.ycombinator.com/item?id=22048619

avatar lesurfeurfou | 

Si j’étais un peu taquin je dirais que la NSA devrait s’équiper de Mac

avatar Ginger bread | 

@lesurfeurfou

C’est pire

avatar Dumber@Redmond | 

@Ginger bread

Quel argumentaire ! J’en suis tout esbaudi....

avatar quentinf33 | 

@Ginger bread

Ah on savait pas que tu avais un listing de toutes les failles présentes !

avatar Ginger bread | 

@quentinf33

Le bug bounty d’Apple en dit long sur le sujet 😂
Faut suivre quand même

avatar quentinf33 | 

@Ginger bread

D’accord. Ou est le recensement des bug bounties du coup ?

Ou alors tu dis ceci parce qu’il y a un bug bounty ? Ça veut pas dire qu’il y a plus de failles qu’ailleurs hein. Des bug bounties il y en a quasiment partout.

avatar Ginger bread | 

@quentinf33

Apple n’en faisait pas avant, autant dire qu ils étaient grav à la traîne. Comme tu le dis y en a partout, enfin avant pas chez Apple
C’est eux aussi qui prétendaient il y a quelques année que OSX n’avait pas besoin d’antivirus/anti malware/...
Tous système a des failles

avatar quentinf33 | 

@Ginger bread

Ah oui tout système a des failles bien évidemment ! Mais si Apple en fait un c’est parce que les voix se sont élevées parce qu’il y en avait un sur iOS mais pas macOS.

Et à l’époque effectivement OS X n’était pas autant attaqué qu’aujourd’hui, car bien que les parts de marché sont très faibles, elles l’étaient encore plus avant et les hackers s’y intéressaient moins. C’est ce que je pense mais c’est une des raisons selon moi.

avatar guilpa | 

C'est le rôle de la nsa d'assurer la sécurité des états Unis, ainsi que la sécurité des entreprise américaine, la nsa n'a aucun intérêt d'attaquer une entreprise américaine c'est tout le contraire. Il se trouve que la dgsi a comptabilisé 1600 failles par ans sur les produit Apple.

avatar codeX | 

C’est pas plutôt 16000 😂

avatar BLM | 

@guilpa
«Il se trouve que la dgsi a comptabilisé 1600 failles par ans sur les produit Apple.»
Une source ?

avatar Sindanárië | 

@BLM

"Une source ?"

Mmmmhh 🤔 La DGSI peut être 😬

avatar guilpa | 

@BLM

Une source ? Tout ce que je lit dans ma vie ne viens pas d'intérêt

avatar fousfous | 

@guilpa

Enfin quand on balance un truc comme ça il faut quand même des sources sérieuses, on ne va pas te croire comme ça sur un chiffre délirant.

avatar guilpa | 

@fousfous

Je me fiche un peu qu'on me croit ou non

avatar fousfous | 

@guilpa

Oui enfin propager des rumeurs ou des fausses informations c'est un peu bof quand même, si on peut pas vérifier tes propos c'est normal de considérer que tu mens.

avatar guilpa | 

@fousfous

Si tu part sur le principe que les gens sont des menteur jusqu'à preuve du contraire OK, je n'ai rien à ajouter, bonne discution

Pages

CONNEXION UTILISATEUR