WireGuard publie une nouvelle version pour Windows après la résolution d’un problème de signature chez Microsoft

 (lists.zx2c4.com)
3 points par GN⁺ 20 일 전 | 1 commentaires | Partager sur WhatsApp
  • WireGuardNT v0.11 et WireGuard for Windows v0.6 ont été publiés, mettant à jour à la fois le pilote noyau et l’outil de gestion
  • La nouvelle version inclut la suppression des IP autorisées sans perte de paquets, la prise en charge d’un MTU faible, ainsi que des corrections de bugs et améliorations de performances
  • D’importantes mises à jour de la toolchain comme EWDK·Clang/LLVM·MingW·Go simplifient la base de code et renforcent sa stabilité
  • Le compte de signature Microsoft a été suspendu temporairement, mais après des discussions en ligne, il a été rétabli en une journée, permettant la reprise normale de la signature et de la distribution
  • Les utilisateurs peuvent installer en toute sécurité la dernière version via la fonction de mise à jour intégrée ou les liens de téléchargement officiels

Publication de WireGuardNT v0.11 et de WireGuard for Windows v0.6

  • Le logiciel WireGuard pour Windows a été mis à jour, avec la diffusion de nouvelles versions du pilote noyau WireGuardNT et de l’outil de gestion WireGuard for Windows
  • Cette version ajoute une gestion de la suppression des IP autorisées sans perte de paquets et la prise en charge d’un réglage MTU faible sur les connexions IPv4, tout en intégrant des corrections de bugs accumulées et des améliorations de performances
  • De grandes mises à jour de la toolchainEWDK·Clang/LLVM·MingW·Go·certificat EV et infrastructure de signature — simplifient le code et renforcent sa stabilité
  • Les tests ont été menés jusqu’à Windows 10 1507 Build 10240 inclus, et les utilisateurs peuvent effectuer la mise à jour en toute sécurité via la fonction intégrée après vérification de la signature
  • Les détails de chaque projet sont disponibles sur les pages wireguard-windows et wireguard-nt

Problème résolu avec le compte de signature Microsoft

  • Lors de la soumission à Microsoft du nouveau pilote noyau NT pour signature, un problème de suspension temporaire du compte est survenu
  • L’affaire a été rendue publique via des commentaires sur Hacker News et des messages sur Twitter, et après l’extension des discussions en ligne, le compte a été rétabli en une journée
  • Le développeur y voit une application excessive des procédures bureaucratiques et précise qu’il n’y avait ni intention malveillante ni complot
  • Certains articles n’ont pas reflété ce rétablissement, mais actuellement, la signature et la distribution se poursuivent normalement

À lire aussi

1 commentaires

 
GN⁺ 20 일 전
Réactions sur Hacker News

  • Comme je l’avais écrit sur la mailing list, le problème de procédure administrative chez Microsoft a été réglé assez rapidement après l’attention portée par HN
    Je suis maintenant heureux de pouvoir publier une nouvelle mise à jour. Programmer pour NT reste toujours amusant, mais cette release a été assez délicate à cause des mises à jour de la toolchain
    Cela dit, nous avons pu abandonner la prise en charge des versions antérieures à Win10.
    Fait intéressant, j’ai découvert que Microsoft avait supprimé la prise en charge de la compilation de pilotes x86 dans le dernier SDK de pilotes.
    Il y a aussi des changements intéressants dans le runtime Go (commit lié)
    Dans l’ensemble, ce fut une release agréable, et je suis satisfait de voir que le train des releases Windows fonctionne de nouveau bien

    • Heureux que tout soit réglé, mais je me demande si on a fini par savoir pourquoi le compte de signature a été suspendu. Ça ne semble pas être le genre de chose qu’on peut balayer d’une simple erreur
    • Je me demande s’il existe une version de WireGuard qui fonctionne bien aussi sur ReactOS. J’aimerais savoir si la version Windows fonctionne telle quelle
    • J’ai trouvé impressionnant le billet expliquant la décision d’abandonner la prise en charge d’avant Win10
    • La mise à jour vers la nouvelle version 0.6.1 redémarre le système, et je ne me souviens plus si cela figurait dans l’annonce

  • Moi aussi, en tant qu’utilisateur de WireGuard sur Windows, je suis heureux que ce problème ait été résolu
    Mais sans cette attention publique, est-ce que cela aurait vraiment été réglé à ce stade ? J’en doute
    La politique de signature de code de Microsoft constitue une menace sérieuse pour l’écosystème FOSS. C’est encore plus vrai sur des plateformes où ce type de procédure est de fait obligatoire
    Cette fois, cela s’est bien terminé, mais ce genre de structure finira un jour par étrangler lentement les développeurs open source

    • Dans ce genre de cas, on est le plus souvent simplement ignoré. La clé pour résoudre le problème, c’est d’avoir un « public »
      Sans attention, on n’a aucun pouvoir. À ce stade, autant créer un nouveau compte et refaire la demande
      Il est ironique que se retrouver en haut de HN soit presque le seul moyen de percer ce type de bureaucratie
      Au final, le programme développeur de Microsoft vise davantage la monétisation que l’équité. À ce sujet, on peut lire le texte de Paul Graham
    • J’ai eu un problème similaire autrefois, et je n’ai fini par le résoudre qu’en achetant un package de support payant et après 4 ou 5 appels
      Attendre seulement le support en ligne pendant 3 semaines a été une perte de temps. Être directement mis en relation avec un responsable de niveau supérieur au téléphone a été bien plus efficace
    • Cela peut être un problème pour des logiciels comme les pilotes kernel qui nécessitent des privilèges administrateur, mais les applications non signées ordinaires fonctionnent toujours très bien sous Windows

  • Je me demande ce qu’il se serait passé si Microsoft n’avait pas attiré l’attention via un canal externe comme HN
    WireGuard a eu la chance que cela se règle, mais je doute que ce résultat soit facilement généralisable

    • En réalité, il n’existe pas de « procédure normale ». Le message d’erreur précise qu’« il n’y a pas de procédure d’appel »
      Au final, il n’y a pas d’autre solution que de porter l’affaire sur la place publique. Mais la plupart des petits développeurs n’obtiennent pas une telle visibilité

  • LibreOffice, VeraCrypt, WireGuard — les trois projets ont subi le même problème
    Je me demande si c’est une simple coïncidence ou s’il y a un schéma récurrent

    • Je me demande si le problème de VeraCrypt a lui aussi été résolu
    • Les trois projets étaient liés à un même compte, et quand ce compte a été verrouillé, toutes les mises à jour se sont arrêtées. Voilà le schéma
    • Windscribe a eu le même problème
    • Je ne sais pas pourquoi LibreOffice est inclus ici

  • J’aimerais qu’on partage de manière transparente comment cet incident a été résolu
    Plusieurs projets comme WireGuard, VeraCrypt et Windscribe ont vécu la même chose, et il reste encore beaucoup d’inquiétude

  • Ce qui est intéressant, c’est que cet incident ressemble au modèle de service des LLM
    Si les LLM ne sont proposés que sous forme de service, les entreprises peuvent bloquer l’accès ou augmenter les tarifs à leur guise
    Au final, les utilisateurs perdent le contrôle. Exactement comme dans ce cas avec Microsoft

    • Les LLM de pointe resteront probablement des services, tandis que les anciens modèles subsisteront en auto-hébergement
      Autrement dit, on ne sera pas complètement bloqué, mais il y aura un risque de dégradation progressive de la qualité

  • Microsoft sait probablement, via la télémétrie, quelle est la portée de ce type de compte
    Donc, lorsqu’un compte est désactivé, il devrait être signalé en interne, et les tentatives de récupération devraient être détectées
    Ce type de cas à haut risque devrait être examiné par un responsable expérimenté avant qu’une plainte publique n’éclate
    D’après la position officielle de Microsoft,
    cette désactivation faisait partie de la procédure de vérification de compte du Windows Hardware Program
    Mais la communication a été très insuffisante, et l’entreprise a déclaré vouloir l’améliorer à l’avenir

  • Beaucoup pensaient que seul WireGuard avait été bloqué, mais il y a en réalité eu plusieurs verrouillages de comptes en parallèle
    Microsoft affirme avoir prévenu en amont, mais la communication a été très mauvaise
    Selon The Register, il s’agissait d’une mesure de revérification obligatoire visant les comptes non vérifiés depuis avril 2024

  • Heureux que le problème soit résolu. J’espère que d’autres développeurs connaîtront la même issue
    Mais je me demande si cela ne concernait que l’application Windows, ou si wireguard-go a aussi été touché

    • Ce problème ne concernait que le pilote WireGuardNT pour le kernel Windows NT
      Voir la présentation du projet
      L’application elle-même (wireguard-windows) utilise un certificat EV ordinaire de signature de code

  • Microsoft n’a pas monté de complot. C’est simplement un cas de procédures bureaucratiques qui ont déraillé
    Une fois le sujet devenu populaire sur HN, le compte a été rétabli en une journée. La cause tient davantage à l’incompétence qu’à la malveillance
    Cela ne change toutefois rien au fait que ce système reste épouvantable

    • À ce niveau, cette « incompétence » relève en pratique de la malveillance
      Concevoir un système qui verrouille automatiquement des comptes sans examen humain ni procédure d’appel est intrinsèquement nuisible
    • Quand on voit le comportement actuel des gouvernements et des grandes entreprises, on a dépassé le stade où on peut encore leur accorder le bénéfice de la bonne foi
      Ils vont de plus en plus dans le sens d’une réduction du contrôle des utilisateurs
    • La société souffre déjà d’une véritable fatigue vis-à-vis des grandes entreprises tech.
      On rend les comptes obligatoires, puis quand ils sont bloqués, il n’existe aucun recours
    • Le point important, c’est l’effondrement de la confiance. Même les autorités de certification (CA) ont été discréditées pour bien moins que cela
    • Microsoft a depuis longtemps perdu le bénéfice du doute