- La distribution des mises à jour Windows de VeraCrypt, logiciel de chiffrement open source, a été totalement bloquée après la résiliation soudaine de son compte par Microsoft, un cas qui met en lumière la fragilité de la chaîne d’approvisionnement des logiciels open source dépendants des grandes entreprises technologiques
- Mounir Idrassi, développeur de VeraCrypt, a découvert à la mi-janvier que son compte de signature des pilotes Windows et du bootloader avait été résilié sans avertissement préalable ; malgré plusieurs tentatives de contact, il n’a reçu que des réponses automatiques semblant générées par une IA
- Le seul message officiel envoyé par Microsoft indiquait un « non-respect des exigences », mais le compte a été fermé sans motif précis ni procédure d’appel, sans aucune explication sur les exigences qui n’étaient soudainement plus remplies
- Jason Donenfeld, développeur de WireGuard, a lui aussi déclaré être confronté au même problème, montrant que l’affaire ne se limite pas à VeraCrypt
- Les mises à jour Linux et macOS peuvent toujours être publiées, mais comme la majorité des utilisateurs sont sur Windows, l’impossibilité de distribuer sur cette plateforme porte un coup critique à l’ensemble du projet
Qu’est-ce que VeraCrypt ?
- Un outil open source qui protège les fichiers en créant soit des partitions chiffrées sur un disque, soit des volumes chiffrés distincts
- Basé sur son prédécesseur TrueCrypt, il propose aussi une fonction de double volume (volume caché) pour les cas où l’on serait contraint de divulguer ses identifiants
Déroulement des faits
- Idrassi a expliqué lui-même sur le forum SourceForge pourquoi il avait été inactif pendant plusieurs mois
- À la mi-janvier, il a constaté que son compte de signature des pilotes Windows et du bootloader, utilisé depuis des années, était soudainement devenu inutilisable
- Il n’avait reçu aucun e-mail préalable ni avertissement, et le seul message de Microsoft disait simplement qu’il ne satisfaisait plus aux exigences actuelles
- Ce message indiquait aussi qu’aucun recours n’était possible et que la demande était close
- Aucune explication n’a été fournie sur les raisons pour lesquelles la société d’Idrassi, IDRIX, ne répondrait soudainement plus à certaines exigences
Réaction du développeur et inquiétudes
- Après avoir contacté le support Microsoft, il n’a reçu que des réponses automatiques semblant générées par une IA
- Il a vivement critiqué l’absence de communication de Microsoft, estimant qu’« ils auraient au moins dû expliquer quel était le problème »
- Il a aussi souligné que « lorsqu’il n’y a aucune communication pour ce type de décision, l’incertitude sur l’avenir grandit, et les réponses automatisées par IA rendent tout le processus inhumain »
WireGuard dans la même situation
- Jason Donenfeld, développeur du populaire client VPN WireGuard, a lui aussi signalé le même problème sur Hacker News
- Il a déclaré : « Sans avertissement, sans notification, un jour j’ai voulu me connecter pour publier une mise à jour et j’ai découvert que le compte avait été suspendu. »
Effets en cascade
- Windows étant la plateforme utilisée par la majorité des utilisateurs de VeraCrypt, l’impossibilité de distribuer des mises à jour Windows constitue un coup potentiellement fatal pour le projet
- Les mises à jour Linux et macOS restent possibles, mais la prise en charge de la plateforme principale est désormais bloquée
- Cet incident met en avant le risque de chaîne d’approvisionnement auquel s’exposent les logiciels open source lorsqu’ils dépendent, même partiellement, de l’infrastructure des grandes entreprises technologiques
- Microsoft n’a pas répondu à la demande de commentaire
Aucun commentaire pour le moment.