Voilà qui n'est pas banal : la NSA, les services de renseignements américains, a alerté les médias hier sur une faille de sécurité touchant Windows 10. L'Agence a repéré la vulnérabilité CVE-2020-0601, qui touche crypt32.dll, un module intégré au sein de CryptoAPI, le système en charge du chiffrement des données du système d'exploitation. Microsoft a corrigé la faille via le patch de sécurité de janvier.
En substance, cette faille permet à un malandrin de mener une attaque de type « man-in-the-middle », lui permettant de déchiffrer des informations confidentielles présentes sur le système infecté. Selon la NSA, CVE-2020-0601 affectait Windows 10 et Windows Server 2016/2019, ainsi que les applications qui s'appuient sur ces systèmes pour le chiffrement de leurs données.
Microsoft n'a identifié aucune exploitation de la vulnérabilité, considérée comme « importante » par l'éditeur, mais pas « critique » comme l'estime la NSA. Si on était un peu taquin (ce qui n'est pas notre genre, vous le savez), on dirait que si l'agence avait trouvé un moyen d'exploiter cette faille, sans doute ne l'aurait-elle pas communiquée à Microsoft.
