Cyberattaque WannaCrypt : Microsoft avait le correctif depuis février !
Comme si elle savait que quelque chose se préparait, Microsoft gardait en stock depuis février les patch de sécurité pour ses anciens systèmes d’exploitation, notamment Windows XP. Microsoft avait simplement choisi de ne pas les proposer ni les diffuser auprès des utilisateurs. Suite à l’arrivée de WannaCrypt, les patch ont curieusement fait leur apparition comme par magie.
WannaCrypt, nous en avons énormément parlé ces derniers jours à travers nos lignes. Pour rappel, il s’agit d’un virus de type ransomware qui s’appuie sur une faille de sécurité Windows pour s’introduire dans votre réseau et confisquer vos données. Une fois vos données récoltée, le logiciel vous contraint à un paiement pour les récupérer.
Pour les versions Windows toujours maintenues par Microsoft, principalement les ordinateurs fonctionnant sous Windows 10, ceux-ci ont été protégés car mis à jour. En revanche, Microsoft s’est refusé à proposer une mise à jour pour les versions de Windows non maintenues comme XP, que certains utilisent encore. De fait, les appareils couplés à XP n’ont pu être protégés.
L’argent, encore l’argent, toujours l’argent
Or, TheRegister a analysé les métadonnées des correctifs proposés en urgence et a découvert qu’un patch de sécurité avait été développé dès février 2017 pour les systèmes d’exploitation comme XP. Microsoft peut toujours jouer les moralisateurs auprès des services secrets américains en les accusant d’avoir caché des failles de sécurité dangereuses permettant à WannaCrypt de se répandre.
La raison pour se refuser à proposer le correctif : l’argent. Microsoft n’aurait soi-disant aucun intérêt à mettre à jour des systèmes qui ne lui rapportent plus d’argent et aurait tout intérêt à pousser les entreprises et pouvoirs publics à mettre à jour des parcs colossaux d’ordinateurs. Toujours est-il que cette politique, qui tend à abandonner d’anciennes versions comme XP et Vista, relève d’un libre choix de Microsoft et qu’il est un peu facile de brandir l’étendard de la perte d’argent sur un sujet si important pour la sécurité des matériels informatiques et des données, surtout que Microsoft a de l'argent à jeter par les fenêtres.
D’autant plus qu’à cela s’ajoute que non seulement Microsoft savait, Microsoft pouvait, mais Microsoft n’a pas fait, n’a pas déployé le correctif. Microsoft était informée que la NSA avait perdu un outil permettant d’exploiter la faille, elle savait la corriger, elle avait trouvé le correctif mais a persisté et signé pour ne pas proposer son correctif aux versions que la firme juge obsolète.