Microsoft suspend les comptes de développeurs de grands projets open source

 (bleepingcomputer.com)
2 points par GN⁺ 20 일 전 | 1 commentaires | Partager sur WhatsApp
  • Microsoft a suspendu sans préavis les comptes de développeurs de grands projets open source comme WireGuard, VeraCrypt, MemTest86 et Windscribe VPN, interrompant la distribution des builds Windows et des correctifs de sécurité
  • Les comptes suspendus étaient des comptes partenaires du Windows Hardware Program, sans procédure de restauration ni moyen de réactivation rapide fournis
  • Les développeurs de VeraCrypt et WireGuard affirment que leurs comptes ont été bloqués sans avertissement ni e-mail, et que leurs contacts avec le support se sont limités à des réponses automatiques
  • Microsoft a expliqué qu’il s’agissait de suspensions automatiques dues au non-respect d’une procédure obligatoire de vérification de compte, puis a aidé à restaurer certains comptes et promis d’améliorer sa communication
  • Dans la communauté, des critiques visent l’inefficacité de la procédure d’appel et le manque de support aux développeurs, avec des inquiétudes sur le fait que des projets open source essentiels aient été touchés

Controverse autour de la suspension de comptes de développeurs open source par Microsoft

  • Microsoft a suspendu sans préavis les comptes de développeurs de grands projets open source, ce qui a interrompu la distribution de nouvelles builds et de correctifs de sécurité pour Windows
    • Les comptes suspendus étaient des comptes partenaires du Windows Hardware Program, sans procédure de restauration ni moyen de réactivation rapide fournis
  • Parmi les projets affectés figurent WireGuard, VeraCrypt, MemTest86 et Windscribe VPN
    • Ces projets utilisaient des comptes Microsoft pour la signature de pilotes Windows et la signature de bootloaders
  • Mounir Idrassi, développeur de VeraCrypt, a indiqué que son compte, utilisé depuis des années, avait été fermé sans préavis et qu’il avait simplement été informé sans e-mail ni avertissement préalable, sans possibilité d’appel
    • Il explique avoir contacté le support Microsoft par plusieurs canaux, mais n’avoir reçu que des réponses automatiques et des bots, sans jamais être mis en relation avec une personne en charge
    • Il a ajouté que les mises à jour pour Linux et macOS restaient possibles, mais que la majorité des utilisateurs étant sur Windows, l’impact était majeur
  • Jason A. Donenfeld, mainteneur de WireGuard, a lui aussi déclaré que « dès sa connexion, son compte avait été suspendu sans avertissement ni notification », et qu’il suivait actuellement une procédure d’appel de 60 jours
    • Il a souligné le risque en indiquant que « si une grave vulnérabilité d’exécution de code à distance (RCE) avait touché WireGuard, il aurait été impossible de distribuer immédiatement un correctif »
    • Les équipes de Windscribe et MemTest86 ont également rapporté n’avoir pas réussi à joindre le support Microsoft pendant plusieurs semaines

Explications de Microsoft et suites données

  • Après l’article de TechCrunch, le vice-président de Microsoft Scott Hanselman a expliqué que ces comptes avaient été automatiquement suspendus pour non-respect de la procédure obligatoire de vérification de compte du Windows Hardware Program
    • Cette procédure vise les partenaires n’ayant pas finalisé la vérification depuis avril 2024, et des notifications auraient été envoyées par e-mail à partir d’octobre 2025
    • Selon une annonce du Hardware Dev Center publiée le 1er octobre 2024, une suspension automatique intervient si la vérification n’est pas terminée sous 30 jours
  • Dans une mise à jour datée du 30 mars 2026, Microsoft précise que « les comptes n’ayant pas finalisé la vérification seront suspendus du Windows Hardware Program et les soumissions ne seront plus autorisées »
    • BleepingComputer a adressé des questions supplémentaires à un porte-parole de Microsoft, mais n’avait pas encore reçu de réponse
  • Par la suite, Hanselman a directement contacté Idrassi, le développeur de VeraCrypt, pour l’aider à restaurer son compte ; Idrassi a déclaré que « la couverture médiatique et la diffusion sur les réseaux sociaux ont poussé Microsoft à réagir »
    • Pavan Davuluri, EVP de la division Windows and Devices chez Microsoft, a déclaré que « des e-mails, bannières et rappels avaient été utilisés pour faire connaître cette procédure aux partenaires, mais que certains étaient passés à côté », ajoutant que la manière de communiquer serait améliorée

Réactions de la communauté

  • Certains utilisateurs ont souligné que « même lorsqu’on développe des logiciels intégrés à des produits Microsoft, il est inquiétant de ne pas pouvoir parler directement à un humain quand un problème survient »
  • D’autres ont critiqué une « procédure d’appel excessivement complexe et inefficace », jugeant problématique que des projets essentiels comme WireGuard soient affectés
  • Certains ont aussi réagi positivement en estimant que « Scott Hanselman reste malgré tout une personne digne de confiance »

À lire aussi

1 commentaires

 
GN⁺ 20 일 전
Réactions sur Hacker News

  • Discussion à propos de l’incident évoqué hier, où Microsoft a clôturé le compte de VeraCrypt, interrompant les mises à jour Windows
    Il vaut aussi la peine de consulter le fil précédent, qui contient les avis de développeurs et le suivi publié par Microsoft

  • Microsoft envoie beaucoup trop souvent des e-mails avec « Action required » dans l’objet
    En réalité, la plupart du temps aucune action n’est nécessaire, ou bien cela ne me concerne pas
    Si on cherche dans ces e-mails, on en trouve des tas pour lesquels il n’y avait finalement rien à faire

    • À force de multiplier les alertes de cette manière, comme dans l’histoire du garçon qui criait au loup, on finit aussi par ignorer les messages vraiment importants
    • J’ai participé autrefois au programme startup de Microsoft, mais la facturation Azure était bien trop chère et l’interface affreuse
      Des services s’activaient automatiquement, et il était impossible de les repérer avant de recevoir la facture plus tard
      Cela fait 2 ans que j’ai quitté le programme, et je reçois encore des mails « Action required »
      GitHub Desktop, c’est pareil — impossible de désactiver les mises à jour automatiques sur macOS, et l’application demande les droits administrateur tous les jours
      Je pense que ce harcèlement des utilisateurs devrait être interdit par la loi
    • Ma boîte spam est remplie de mails « Action Required »
      La plupart sont des e-mails de phishing, donc même un vrai mail de Microsoft, je ne l’ouvre pas
    • Une fois, j’étais tellement incapable de comprendre l’un de ces mails que j’ai ouvert un ticket de support, et même l’employé de Microsoft ne savait pas à quelle ressource il se rapportait
    • Dans les formations de sensibilisation à la sécurité, on nous apprend que les e-mails avec « Action required » dans l’objet sont du phishing

  • Microsoft a déclaré qu’à la suite de cet incident, l’entreprise allait examiner comment améliorer sa communication,
    ce qui fait penser à un Vogon qui, après avoir fait exploser la Terre, dirait « la prochaine fois on fera mieux »

  • Dans l’industrie tech, la sécurité n’est souvent qu’une mise en scène
    Le véritable objectif est souvent de faire passer des politiques contraignantes, comme le contrôle d’accès ou des atteintes à la vie privée
    Même les procédures de signature finissent par donner tous les pouvoirs à une seule partie, et ces pouvoirs sont toujours abusés

    • Certaines personnes pensent qu’au lieu d’empêcher les échecs, il vaut mieux transférer la responsabilité via l’assurance
    • La plupart des dispositifs de sécurité sont mal fichus, mais cela ne veut pas dire que la sécurité elle-même est inutile
      En revanche, la concentration du pouvoir chez les Big Tech est un problème grave
    • Quand on sacrifie les principes au nom d’un compromis pragmatique, on finit par perdre les deux

  • La décision de Microsoft cette fois est tellement absurde
    À un moment où la base de fans de Windows se réduit, ce genre d’action revient à se tirer une balle dans le pied
    Mais ce type d’incident peut aussi servir d’électrochoc sur les risques de la centralisation

    • Aujourd’hui encore, j’ai essayé pendant 20 minutes de me connecter à Teams, mais je suis resté coincé dans une boucle d’authentification infinie et j’ai échoué
      On nous parle d’ère de l’automatisation par l’IA, mais même une simple connexion ne fonctionne pas correctement
    • Le capital sympathie accumulé par Satya Nadella entre 2014 et 2022 a complètement disparu
      Microsoft est désormais devenu une entreprise qui ne regarde plus que vers Azure et l’IA

  • Article lié : l’affaire de suspension du compte développeur du créateur de WireGuard VPN chez TechCrunch
    Le sujet a aussi été discuté dans ce fil HN

    • D’après une meilleure source, il ne s’agissait pas simplement d’une vérification par e-mail, mais d’un envoi d’une pièce d’identité officielle
      Or, certains développeurs n’ont reçu aucune notification au sujet de cette procédure

  • Un article de The Register a relayé la position officielle de Microsoft

    • J’ai travaillé autrefois comme partenaire Microsoft, et pour conserver le statut de partenaire, il fallait disposer de certifications officielles de développeur
      Depuis la suppression de ces certifications, on dirait que les partenaires sans développeur certifié ont été purgés d’un coup

  • « Microslop » est encore en train de dégrader sa propre marque
    À ce rythme, les gens pourraient finir par passer sur macOS ou Linux

    • Cela fait plus d’un an que j’utilise Forgejo, c’est rapide et les fonctions essentielles sont gratuites
      Ça tourne très bien même sur un Raspberry Pi 4 (1 Go de RAM)
      Avec Docker Compose et Caddy pour configurer le HTTPS, puis cron + git pull pour les sauvegardes, cela suffit largement
      On peut aussi lancer sans problème des tests Rust ou Python
    • Mais Apple fait des choses similaires avec l’App Store
      Le vrai problème, c’est la structure monopolistique des app stores
    • La plupart des gens utilisent simplement l’ordinateur fourni par leur entreprise
      En réalité, il y a peu de personnes prêtes à changer d’OS
    • Les appareils Apple sont chers, et les PC portables Linux restent difficiles à trouver en magasin
      Donc une migration de masse semble peu probable
    • J’utilise un PC Windows 11 au travail, et c’est choquant de lenteur
      Plus lent encore qu’un Q6600 de 2007 sous Windows XP

  • Sur mon Linux et mon Mac, WireGuard fonctionne très bien
    Microsoft semble ne pas comprendre que bloquer un logiciel aussi essentiel nuit encore plus à l’entreprise elle-même

    • Aujourd’hui, dans les grandes entreprises, plus personne ne vérifie vraiment quoi que ce soit
      Ce sont des bots automatisés qui bloquent les comptes, et quand on essaie de les faire débloquer, on se heurte à un mur

  • Selon Scott Hanselman, vice-président chez Microsoft,
    cette suspension correspond à un blocage automatique des « partenaires n’ayant pas terminé la vérification de leur compte depuis avril 2024 »
    Mais dans les faits, cela ressemblait davantage à une résiliation de compte qu’à une simple suspension