Microsoft suspend les comptes de développeurs de grands projets open source

• Microsoft a suspendu sans préavis les comptes de développeurs de grands projets open source comme WireGuard, VeraCrypt, MemTest86 et Windscribe VPN, interrompant la distribution des builds Windows et des correctifs de sécurité
• Les comptes suspendus étaient des comptes partenaires du Windows Hardware Program, sans procédure de restauration ni moyen de réactivation rapide fournis
• Les développeurs de VeraCrypt et WireGuard affirment que leurs comptes ont été bloqués sans avertissement ni e-mail, et que leurs contacts avec le support se sont limités à des réponses automatiques
• Microsoft a expliqué qu’il s’agissait de suspensions automatiques dues au non-respect d’une procédure obligatoire de vérification de compte, puis a aidé à restaurer certains comptes et promis d’améliorer sa communication
• Dans la communauté, des critiques visent l’inefficacité de la procédure d’appel et le manque de support aux développeurs, avec des inquiétudes sur le fait que des projets open source essentiels aient été touchés

Controverse autour de la suspension de comptes de développeurs open source par Microsoft

• Microsoft a suspendu sans préavis les comptes de développeurs de grands projets open source, ce qui a interrompu la distribution de nouvelles builds et de correctifs de sécurité pour Windows
  • Les comptes suspendus étaient des comptes partenaires du Windows Hardware Program, sans procédure de restauration ni moyen de réactivation rapide fournis
• Parmi les projets affectés figurent WireGuard, VeraCrypt, MemTest86 et Windscribe VPN
  • Ces projets utilisaient des comptes Microsoft pour la signature de pilotes Windows et la signature de bootloaders
• Mounir Idrassi, développeur de VeraCrypt, a indiqué que son compte, utilisé depuis des années, avait été fermé sans préavis et qu’il avait simplement été informé sans e-mail ni avertissement préalable, sans possibilité d’appel
  • Il explique avoir contacté le support Microsoft par plusieurs canaux, mais n’avoir reçu que des réponses automatiques et des bots, sans jamais être mis en relation avec une personne en charge
  • Il a ajouté que les mises à jour pour Linux et macOS restaient possibles, mais que la majorité des utilisateurs étant sur Windows, l’impact était majeur
• Jason A. Donenfeld, mainteneur de WireGuard, a lui aussi déclaré que « dès sa connexion, son compte avait été suspendu sans avertissement ni notification », et qu’il suivait actuellement une procédure d’appel de 60 jours
  • Il a souligné le risque en indiquant que « si une grave vulnérabilité d’exécution de code à distance (RCE) avait touché WireGuard, il aurait été impossible de distribuer immédiatement un correctif »
  • Les équipes de Windscribe et MemTest86 ont également rapporté n’avoir pas réussi à joindre le support Microsoft pendant plusieurs semaines

Explications de Microsoft et suites données

• Après l’article de TechCrunch, le vice-président de Microsoft Scott Hanselman a expliqué que ces comptes avaient été automatiquement suspendus pour non-respect de la procédure obligatoire de vérification de compte du Windows Hardware Program
  • Cette procédure vise les partenaires n’ayant pas finalisé la vérification depuis avril 2024, et des notifications auraient été envoyées par e-mail à partir d’octobre 2025
  • Selon une annonce du Hardware Dev Center publiée le 1er octobre 2024, une suspension automatique intervient si la vérification n’est pas terminée sous 30 jours
• Dans une mise à jour datée du 30 mars 2026, Microsoft précise que « les comptes n’ayant pas finalisé la vérification seront suspendus du Windows Hardware Program et les soumissions ne seront plus autorisées »
  • BleepingComputer a adressé des questions supplémentaires à un porte-parole de Microsoft, mais n’avait pas encore reçu de réponse
• Par la suite, Hanselman a directement contacté Idrassi, le développeur de VeraCrypt, pour l’aider à restaurer son compte ; Idrassi a déclaré que « la couverture médiatique et la diffusion sur les réseaux sociaux ont poussé Microsoft à réagir »
  • Pavan Davuluri, EVP de la division Windows and Devices chez Microsoft, a déclaré que « des e-mails, bannières et rappels avaient été utilisés pour faire connaître cette procédure aux partenaires, mais que certains étaient passés à côté », ajoutant que la manière de communiquer serait améliorée

Réactions de la communauté

• Certains utilisateurs ont souligné que « même lorsqu’on développe des logiciels intégrés à des produits Microsoft, il est inquiétant de ne pas pouvoir parler directement à un humain quand un problème survient »
• D’autres ont critiqué une « procédure d’appel excessivement complexe et inefficace », jugeant problématique que des projets essentiels comme WireGuard soient affectés
• Certains ont aussi réagi positivement en estimant que « Scott Hanselman reste malgré tout une personne digne de confiance »