Mise à jour du projet VeraCrypt

 (sourceforge.net)
2 points par GN⁺ 23 일 전 | 1 commentaires | Partager sur WhatsApp
  • Le compte Microsoft utilisé pour signer les pilotes Windows de VeraCrypt a été fermé sans préavis, plaçant le développeur Mounir Idrassi dans une situation où il ne peut plus distribuer de mises à jour de la version Windows
  • Du côté de Microsoft, seul un message indiquant qu’aucun recours n’est possible a été laissé, et malgré plusieurs tentatives de contact, aucune réponse autre qu’un message automatique n’a été reçue
  • La communauté s’est mobilisée en proposant diverses solutions, comme une procédure de récupération du compte, des signalements sur les réseaux sociaux et des méthodes de signature alternatives
  • Certains utilisateurs ont partagé un cas similaire sur le projet Rufus et ont avancé la possibilité de problèmes administratifs, comme une erreur de validation du domaine
  • Plusieurs développeurs et utilisateurs ont tenté de mobiliser des contacts internes chez Microsoft et un soutien public, montrant leur volonté de coopérer pour assurer la continuité et la sécurité de VeraCrypt

Mise à jour du projet VeraCrypt

  • Développement interrompu à cause de la fermeture du compte Microsoft

    • Le développeur de VeraCrypt, Mounir Idrassi, a indiqué après plusieurs mois d’absence que le compte Microsoft utilisé pour signer les pilotes Windows et le bootloader avait été fermé
    • Microsoft a résilié le compte sans avertissement préalable ni notification par e-mail, et le message affiché indique qu’aucun recours n’est possible
    • Malgré plusieurs tentatives de contact avec Microsoft par différents canaux, seules des réponses automatiques ont été reçues, sans qu’aucun échange avec une personne en charge n’ait eu lieu
    • En conséquence, il est impossible de distribuer des mises à jour de la version Windows de VeraCrypt, ce qui perturbe fortement le fonctionnement du projet
    • Les versions Linux et macOS peuvent continuer à être mises à jour, mais l’impact est important car la majorité des utilisateurs sont sur Windows

  • Réaction et propositions de la communauté

    • L’utilisateur Marty a signalé que la version Windows actuelle (1.26.24) est signée avec un certificat de 2011 qui arrivera bientôt à expiration, et s’est inquiété des problèmes liés à l’usage d’une version non signée dans un environnement Secure Boot
    • AJ B a recommandé d’utiliser le formulaire de récupération de compte et les liens de support client sur les pages d’assistance Microsoft, ainsi que de faire des signalements publics via Reddit et X (anciennement Twitter)
    • Alex R a proposé de partager l’affaire sur des canaux sociaux liés à Microsoft afin d’augmenter sa visibilité, ce qu’Idrassi a accepté favorablement
    • 风之暇想 a suggéré d’ajouter un programme de chiffrement de type archive ne dépendant pas de la signature, afin de proposer une réponse possible au problème de signature

  • Conseils supplémentaires et tentatives de soutien

    • Phoenix a évoqué la possibilité que le compte ait été supprimé à la suite d’un signalement selon lequel le logiciel pourrait être utilisé à des fins illégales, et a proposé une version temporairement limitée ne prenant en charge que les partitions non système
    • Enigma2Illusion a détaillé une méthode pour envoyer directement un e-mail au CEO de Microsoft, Satya Nadella
      • Un modèle de courrier d’exemple a été fourni, comprenant l’objet du message, le corps du texte, des captures d’écran en pièce jointe et les coordonnées de contact
    • Preguntar Jeeves a mentionné que le compte n’avait peut-être pas été totalement supprimé mais simplement désactivé, et a conseillé de contacter des figures de la communauté du chiffrement, des médias et des responsables politiques
      • Les personnalités mentionnées incluent Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul, Ron Wyden

  • Cas similaires et pistes de résolution

    • Pete Batard a indiqué avoir rencontré la même erreur Microsoft Partner Center sur le projet Rufus
      • Dans son cas, le problème venait d’un échec de validation WHOIS chez le registrar du domaine, ce qui avait interrompu la vérification automatique, avant d’être résolu après un contact direct avec l’équipe de support Microsoft
      • Il explique que la mention « aucun recours possible » dans le message d’erreur est probablement une formulation automatique distincte de la véritable procédure de vérification métier
      • Il a résolu le problème en fournissant des justificatifs d’enregistrement du domaine, et estime qu’Idrassi pourrait faire face à une cause similaire

  • Tentatives de mobilisation de contacts internes chez Microsoft

    • Rafael Rivera a indiqué qu’il pouvait faire remonter le problème via son réseau interne chez Microsoft et a demandé qu’on lui partage l’e-mail concerné
    • Plusieurs membres de la communauté ont exprimé leur empathie et leur soutien envers la situation d’Idrassi, en proposant diverses formes d’aide technique et sociale pour contribuer à la continuité du projet

À lire aussi

1 commentaires

 
GN⁺ 23 일 전
Commentaires sur Hacker News

  • Je rencontre actuellement le même problème avec WireGuard
    Mon compte a été suspendu sans le moindre avertissement ni notification, et je suis maintenant en pleine procédure de recours de 60 jours
    S’il s’était agi d’une véritable vulnérabilité RCE nécessitant le déploiement immédiat d’un correctif, Microsoft m’aurait complètement lié les mains
    Si quelqu’un chez Microsoft peut aider, merci de me contacter (jason at zx2c4 dot com)

    • Quand on voit ce genre de situation, je pense que des entreprises comme Microsoft, Google, Apple, Visa, Mastercard, et bientôt OpenAI et Anthropic, devraient être régulées comme des services d’intérêt public
      Il devrait être illégal pour ces entreprises de refuser leurs services à des utilisateurs légitimes
      Aux États-Unis, ce serait difficile pour des raisons politiques, mais c’est envisageable dans l’UE
      Les personnes hors UE pourraient aussi bénéficier de la protection de la réglementation européenne via l’e-Residency de l’Estonie
    • C’est vraiment sidérant que le compte Microsoft du créateur de WireGuard ait été suspendu
      On dirait que Microsoft essaie d’empêcher les utilisateurs d’utiliser le chiffrement réseau ou le chiffrement de disque
    • J’ai du mal à croire que le développeur de WireGuard se retrouve dans cette situation
      D’autant plus que Microsoft prend en charge WireGuard dans Azure Kubernetes Service
    • /tinfoil time
      Une durée de 60 jours est étrangement à la fois longue et courte
      C’est suffisant pour laisser au gouvernement américain le temps d’exploiter une faille de sécurité, après quoi Microsoft pourrait rétablir le compte en disant qu’il s’agissait d’une « erreur »
      Au final, cela ressemble à une stratégie de blocage temporaire des logiciels de sécurité
    • Grâce à ce fil, j’ai moi aussi partagé le sujet dans un tweet

  • Il vaut la peine de consulter ce tweet de mise à jour publié par un vice-président de Microsoft

  • Au début, j’étais surpris de voir les développeurs de VeraCrypt dans une telle situation, et maintenant c’est aussi le cas du développeur de WireGuard
    Microsoft serait-il en train d’appliquer une nouvelle politique visant à freiner les projets open source pour pousser ses propres solutions ?

    • C’est probablement plutôt dû à un système de blocage automatique déclenché par une hausse soudaine des téléchargements
      Ces derniers temps, les entreprises renforcent ce type de mesures pour empêcher la diffusion d’applications frauduleuses visant les utilisateurs non techniques
      C’est dans la même logique que Google quand il bloque le sideloading
    • Oui

  • Ce genre de problème n’est résolu que lorsqu’il y a une couverture médiatique
    Comme à l’époque où neocities n’arrivait pas à joindre Bing, il faut qu’un média comme Ars Technica s’en empare

    • On dirait que Microsoft abuse de sa position quasi monopolistique sur le marché des OS grand public
      Il est temps qu’il y ait une intervention réglementaire
    • Le fait que la presse s’en mêle n’est qu’un pansement temporaire
      La structure actuelle de distribution d’applications n’est déjà plus un modèle où « l’utilisateur choisit », mais un système de liste blanche géré par les entreprises
      Les développeurs indépendants et open source y subissent des procédures kafkaïennes, des coûts absurdes et des critères opaques
      Moi-même, le renouvellement de la signature de code Digicert de mon appli Payload est bloqué depuis 6 mois
      Ce n’est pas un simple problème technique, c’est un problème de système de validation monopolistique
      C’est plus cher, plus contraignant et plus flou que l’époque des certificats SSL avant Let’s Encrypt
    • J’ai rendu le sujet public sur X aujourd’hui

  • Cela ressemble à une redite de l’affaire LibreOffice
    Cet article connexe indique que Microsoft avait bloqué une version de développement de LibreOffice

    • Si Microsoft oblige les utilisateurs à créer un compte Microsoft puis bloque ce compte, l’utilisateur perd même son droit d’accès à ses propres données
      Cette structure est dangereuse, et c’est une raison de plus de quitter Windows
    • Ce n’est peut-être pas directement lié à l’affaire LibreOffice
      Le système automatisé de détection des abus de Microsoft est notoirement défaillant, et il arrive souvent que des comptes soient verrouillés sans raison
      Si possible, il vaut mieux éviter d’utiliser un compte Microsoft pour des choses importantes, et utiliser une CA tierce pour la signature

  • On continue de s’interroger sur la raison pour laquelle le développeur de TrueCrypt a soudainement arrêté le projet et recommandé BitLocker comme alternative

    • Ce qu’on entend généralement, c’est que le développeur a été incarcéré pour trafic d’armes
      Voir la page wiki de Paul Le Roux
    • Je me demande aussi pourquoi TrueCrypt a été exclu d’Archive.org
      Lien d’archive
    • Il est probable que, comme Lavabit, le projet se soit auto-interrompu pour ne pas céder aux exigences du gouvernement
    • Moi aussi, cette affaire m’a toujours semblé suspecte, donc j’utilise encore TrueCrypt

  • Vu la situation actuelle, on a l’impression que Linux est le seul espoir
    Windows et macOS sont devenus trop risqués et inefficaces pour un usage professionnel

    • Dans certains États américains, il existe des initiatives visant à compliquer l’usage de Linux en imposant une vérification d’âge au niveau de l’OS
    • J’espère que Valve ira au-delà du jeu vidéo et s’impliquera vraiment dans l’élargissement de l’écosystème Linux
    • Mais cela reste encore peu ergonomique pour la grande majorité des utilisateurs

  • Ma prédiction, c’est que Microsoft est en train de tester la réaction de l’opinion
    Si la contestation est forte, l’entreprise dira que c’était une « erreur » et réactivera les comptes ; si la réaction est faible, elle bloquera progressivement les clés de signature de logiciels comme les VPN, torrents et bloqueurs de pub

    • En fin de compte, la stratégie d’enshittification de Microsoft entre vraiment dans sa phase active
      Sa participation à l’open source n’a jamais été animée par une intention pure, mais par un calcul commercial
      L’entreprise cherche maintenant à verrouiller complètement Windows, et GitHub et VSCode pourraient bien suivre la même voie

  • Certaines fonctionnalités de VeraCrypt ne sont possibles que sous Windows
    Par exemple, le chiffrement de la partition système complète ou l’installation d’un Hidden OS ne fonctionnent que sur Windows basé sur MBR
    J’espérais voir ces techniques de plausible deniability davantage progresser au niveau de l’OS, mais elles ont quasiment disparu aujourd’hui
    Il y avait une tentative similaire dans cette présentation BlackHat

    • Mais si on abandonne Windows, on n’a au fond plus besoin de VeraCrypt

  • Microsoft a désactivé le certificat de signature du développeur, ce qui l’empêche de distribuer des releases Windows

    • L’installation reste possible malgré tout, il y a juste un message d’avertissement qui s’affiche
    • Comme je prépare moi-même un logiciel signé pour Windows, ce genre de cas m’inquiète énormément
      Quelle raison peut-il y avoir pour révoquer le certificat d’un développeur dont l’identité a déjà été vérifiée ?
      Je me demande aussi s’il existe un moyen de contester juridiquement ce type de décision