S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Microsoft a bloqué les comptes des développeurs de VeraCrypt, WireGuard et Windscribe

Les mises à jour restent au garage

Microsoft a bloqué les comptes des développeurs de VeraCrypt, WireGuard et Windscribe

Il y a quelque chose qui coince chez Microsoft. Les développeurs de VeraCrypt, WireGuard et Windscribe ont subi une suspension de leur compte, sans réelle explication de la part de l’éditeur. Résultat : impossible de livrer des mises à jour. La situation devrait heureusement se résoudre très bientôt, suite à l’intervention d’un vice-président de Microsoft.

Le 09 avril à 08h00

Mise à jour, 10/04 — Tout finit par s’arranger pour le mieux. Mounir Idrassi, le développeur de VeraCrypt, nous a en effet informé que son accès au portail Microsoft Partner Center a été rétabli suite à l’intervention de Scott Hanselmann. C’est aussi le cas pour Windscribe et pour WireGuard.

Article original, 9/04 — Mauvaise surprise pour les développeurs du logiciel de chiffrement VeraCrypt et du protocole VPN WireGuard, deux applications open source. Visiblement sans crier gare, Microsoft a suspendu leur compte. « Microsoft a résilié le compte que j’utilisais depuis des années pour signer les pilotes Windows et le bootloader », déplore Mounir Idrassi, l’auteur de VeraCrypt.

Microsoft aux abonnés absents

Il n’a reçu « aucun email ni avertissement préalable », affirme-t-il dans un message sur SourceForge remontant au 30 mars. Contacté par Next, il indique simplement qu’il « doit donc y avoir une nouvelle politique chez Microsoft », mais il regrette amèrement le « manque de transparence et de communication de la part de Microsoft »

Même discours ce 8 avril chez Jason A. Donenfeld, créateur et animateur principal de WireGuard. « Un jour, je me connecte pour publier une mise à jour et là, catastrophe : compte suspendu», décrit-il sur le forum de Hacker News.

Dans les deux cas, les développeurs n’ont personne vers qui se tourner chez Microsoft. « Je n’ai obtenu que des réponses automatisées et des bots. Je n’ai pas réussi à joindre un interlocuteur humain », regrette Mounir Idrassi.

Conséquences directes : impossible de publier des mises à jour

Dans les deux cas, les conséquences sont identiques : impossible de publier des mises à jour, ce qui est particulièrement problématique en cas de faille de sécurité. « Imaginez qu’il y ait une faille critique d’exécution de code à distance dans WireGuard, exploitée activement, et que je doive mettre à jour immédiatement (c’est purement hypothétique, pas de panique !) », explique Jason A. Donenfeld. « Dans un cas comme celui-là, Microsoft me laisserait avec les mains entièrement liées. »

Pour VeraCrypt, les mises à jour pour Linux et macOS restent possibles, mais Windows est la plateforme utilisée par la majorité des utilisateurs. Cette suspension de compte est « un coup dur pour le projet », et elle a « des conséquences sur mon activité professionnelle quotidienne », indique son développeur. Il précise à TechCrunch que pour le moment l’utilitaire continue de fonctionner normalement, et qu’aucune faille de sécurité n’a été identifiée récemment.

Si la situation devait rester en l’état, les utilisateurs de VeraCrypt ayant activé le chiffrement de leur système d’exploitation risquent de rencontrer un vrai gros problème à partir de cet été, prévient Mounir Idrassi : « Microsoft va révoquer l’autorité de certification qui a été utilisée pour signer le bootloader de VeraCrypt ». 

Une nouvelle certification Microsoft est nécessaire pour que le bootloader puisse continuer de fonctionner, mais sans accès à son compte, le développeur ne pourra pas appliquer cette nouvelle signature. Résultat : le démarrage de Windows chiffré avec VeraCrypt sera impossible. C’est l’équivalent d’« une condamnation à mort ».

Enfin un signe de vie

VeraCrypt et WireGuard ne sont pas les deux seuls dans cette panade. Le service VPN Windscribe a lui aussi subi une suspension de son compte Microsoft (vérifié depuis plus de 8 ans, selon l’éditeur). Mais dans ce dernier cas, l’éditeur a donné un signe de vie. Scott Hanselmann, vice-président de Microsoft et membre de l’équipe technique GitHub, a en effet répondu sur X que le problème devrait être réparé « sous peu ». 

En plus de Windscribe, le dirigeant a contacté Jason A. Donenfeld et Mounir Idrassi, ce que le développeur de VeraCrypt a confirmé auprès de Next. Il attend désormais de voir la suite qui sera donnée à son dossier :

« Le principal problème reste toutefois le manque de transparence et de communication de la part de Microsoft. J’ai été choqué de lire dans la notification affichée sur mon compte qu’aucun recours n’était possible ! […] Il s’agissait simplement d’un problème de communication et de vérification [selon Scott Hanselmann], mais il devrait y avoir une communication claire pour avertir les auteurs de ce type de situation. »

On peut espérer que la situation se débloque pour tout le monde rapidement. Dans sa réponse à Windscribe, Scott Hanselmann pointe vers un billet de blog du Hardware Dev Center remontant au 1ᵉʳ octobre 2025. Microsoft y détaille une nouvelle exigence de vérification de compte pour tous les partenaires du programme matériel Windows qui n’auraient pas complété l’opération de vérification depuis avril 2024. Ce programme s’occupe aussi de la certification des pilotes logiciels.

Le processus de vérification devait être effectué sous les 30 jours, à compter du 16 octobre 2025. Microsoft a mis à jour le billet le 3 mars : la vérification des comptes pour le programme a pris fin. « Les comptes qui n’ont pas finalisé avec succès cette vérification et ont reçu un statut « rejeté » ont été suspendus du programme Windows Hardware, et les soumissions provenant de ces comptes ne sont plus autorisées », ajoute l’entreprise.

Microsoft : « Tout est en train d’être corrigé »

Windscribe ne décolère pas : « Nous essayons de résoudre cela depuis plus d’un mois, et nous n’avançons pas. Le support est inexistant. Quelqu’un connaît-il un humain avec un cerveau qui fonctionne encore chez Microsoft et qui pourrait aider ? ». Le bruit engendré par cette affaire fait bouger les choses.

Il y a quelques heures à peine, Windscribe affirmait que « certaines personnes bienveillantes chez Microsoft ont pris contact et apparemment, cela est en cours de résolution ». Cette nuit toujours, Scott Hanselman ajoute avoir parlé à Mounir Idrassi et Jason Donenfeld : « Tout est en train d’être corrigé pendant qu’on parle ».

Commentaires (33)

votre avatar
"Il y a quelque chose qui coince chez Microsoft." ==> Il y a surtout des développeurs qui sont dans le Hardware Program et qui n'ont pas vérifié la légitimité de leur compte malgré une communication lancée il y a 6 mois.

On ne peut pas basher un éditeur en permanence sur son manque de sécurité d'un côté et râler qu'il renforce la sécurité de ses programmes collaboratifs de l'autre.

Cela donne surtout l'impression que les développeurs font les divas et ne veulent pas s'occuper de l'administratif ou trouver un canal de communication autre que le mail au support. Il n'est pas très compliqué aujourd'hui de communiquer avec "un humain avec un cerveau qui fonctionne encore" quand on cherche un peu sur les réseaux sociaux ou via les programmes de relations entreprise ou communautaires.
votre avatar
On ne peut pas comparer un article de blog à une vraie communication directe. L'absence de communication de Microsoft envers les participants est flagrante.
votre avatar
C’est vrai, ça.

Il faudra pas que les Terriens soient surpris lorsque la Terre sera détruite par les Vogons pour construire une déviation spatiale. C’est affiché au niveau d’Alpha du Centaure depuis un bout de temps…

Plus sérieusement : En cas de décision importante, il vaut mieux s’assurer que les principaux intéressés ont bien reçu l’info.

Les développeurs en question affirment ne pas avoir reçu de mail.

Un article de blog publié il y a 6 mois, avec un délai d’un mois pour agir, c’est un peu léger…
votre avatar
Il aurait fallu des mails effectivement.
Cependant même des certificats temporaires valides 3 jours permettent de diffuser des attaques via des pilotes signées.
votre avatar
Mon organisation a reçu email + relance. Nos partenaires également.
votre avatar
Je ne jette pas la pierre à Microsoft, mais je n'en veux pas aux développeurs de ne pas voir vu un mail "votre compte Microsoft va être désactivé si vous n'effectuez pas les vérifications suivantes" vu que c'est une stratégie de phishing classique.
votre avatar
On est d'accord.

Mais de là à jouer de sa notoriété pour dire qu'on est ignoré, d'insulter les employés et de se faire passer par la victime car on a ignoré une communication légitime, cela devient de plus en plus courant de la part de personnalités notoires alors que la faute est chez eux.

Quelle communication veulent-ils? Dans un cadre critique, on lit tous ses emails, même si il y a un nombre de spams non négligeables. Surtout qu'a priori l'article parle de comptes utilisés pour un usage unique et peu fréquent.

Les autres ont bien réussi et ils sont légion.
votre avatar
Bon, finalement je jette la pierre à Microsoft: x.com Twitter

"Don’t let anyone tell you it’s because we didn’t read our emails or submit the right verification paperwork. Cuz we did all that back in October. "
votre avatar
C'est arrivé la même chose à VLC en 2024 : x.com Twitter, c'est pas un cas isolé
votre avatar
Les affres de l'absence d'humain comme premier contact... Et ce n'est que le début...
Et du coup, pour quelques projets connus qui s'en sortent parce qu'ils sont connus, combien de projets ont été touchés par le même problème, et pour lesquels Microsoft ne se penchera jamais sur la question ?... 🤔

Bref, Microsoft (et pas que, je connais quelques Youtubeurs avec plusieurs centaines de milliers d'abonnés, et ce n'est guère mieux même pour eux, pas mieux que pour certains ayant un compte Paypal ou Shopify suspendu du jour au lendemain, ou Youtube qui démonétise sans recours possible via un humain.)
votre avatar
Bref, Microsoft (et pas que, je connais quelques Youtubeurs avec plusieurs centaines de milliers d'abonnés, et ce n'est guère mieux même pour eux, pas mieux que pour certains ayant un compte Paypal ou Shopify suspendu du jour au lendemain, ou Youtube qui démonétise sans recours possible via un humain.)
Perso, je n'arrête pas de rappeler dans l'autoédition qu'il ne faut pas dépendre à 100% d'Amazon KDP. Nombre d'auteurs ne publient que sur cette plateforme, et Amazon profite (voire abuse à mes yeux) de sa position dominante en exigeant l'exclusivité du livre numérique pour être présent dans l'abonnement KDP Select.

Ne pas être dans KDP Select est, évidemment, une perte considérable de visibilité et d'engagement.

Pourtant, les cas de comptes suspendus parce que raisons ne sont pas rares.
votre avatar
Exactement... Mais faire le choix de ne pas passer par ces derniers a aussi un coût.
J'ai créé une pépinière spécialisée dans la résilience/diversité alimentaire (fruitiers), et suis un des rares en France à propose des prumixs et ait probablement la collection la plus étendue avec une trentaine de variétés (plus d'une quarantaine à la pépinière) et, autant dire que le manque de visibilité en ne faisant que de la vente directe via mon propre site, rend le démarrage difficile, et lent.
C'est un choix qu'il faut réussir à porter et tout le monde n'a pas le luxe de pouvoir attendre le seuil de rentabilité par un canal direct dans son activité...
Il est clair que Amazon ferait une sacrée publicité en offrant de la visibilité, mais à quel prix ? C'est un énorme piège, de faire plus de chiffre, grossir, puis, sur un coup de tête de cette entité qui rend dépendante d'elle, risquer de tout perdre parce que plus de clients...

Et c'est le même souci concernant tous les intermédiaires techniques... Pour lesquels il est difficile de s'en passer. (Typiquement, packlink & UPS pour la gestion des expéditions et transports, les organismes de paiement bancaires/paypal, etc...)
votre avatar
Et bientôt un nouvel intermédiaire technique obligatoire géré par le privé avec la facture électronique. Autant, je comprend la logique derrière, autant que l'état ait complètement abandonné le projet public me laisse perplexe.
Les enjeux sont quand même important, et on va laisser le privé se battre à grand coup de marketing et de levé de fond pour s'accaparer et verrouiller le marché.
votre avatar
Les enjeux sont quand même important, et on va laisser le privé se battre à grand coup de marketing et de levé de fond pour s'accaparer et verrouiller le marché.
Mauvais exemple la facturation électronique : c'est spécifié et normalisé par l'AFNOR et l'immatriculation des PA répond à un cahier des charges validé par l'État et sujet à renouvellement régulier (3 ou 5 ans je crois, de mémoire). On ne peut pas vraiment parler d'abandon au privé.

La France n'est pas le seul pays à avoir choisi l'approche décentralisée, la Belgique et l'Allemagne aussi de mémoire. La Pologne est en centralisé.
votre avatar
C'est quoi un PA ?

Par contre, déléguer au privé a toujours été bénéfique pour les Français (autoroutes, cartes grises, électricité, ...).
Ok je sors ->[]
votre avatar
PA = Plateforme Agréée
votre avatar
La déformation professionnelle d'en parler toutes les 5 minutes XD
votre avatar
Par contre, déléguer au privé a toujours été bénéfique pour les Français (autoroutes, cartes grises, électricité, ...).
Pas comparable à mon sens, car les plateforme agréées répondent du portail public de facturation, qui lui est maintenu par l'État.

On parle d'une réforme pour la fraude à la TVA, donc Bercy va pas "abandonner" ça et le négliger... Rien que le fait que les plateformes doivent être SecNumCloud confirme les priorités du gouvernement. (là où les contrôles d'identité pour l'âge, c'est YOLO assuré)
votre avatar
votre avatar
N'étant pas assujetti à la TVA, pour l'instant je vais passer à côté... Mais il va falloir que je me penche sur cette histoire, je sent que ça va être fun... 😵‍💫
votre avatar
L'élément que je pointais surtout, c'est qu'Amazon verrouille les auteurs en leur donnant un non choix : perdre en visibilité s'ils ne sont pas sur KDP Select ou l'avoir et leur interdire de diffuser ailleurs leur livre numérique.

Pour ma part, j'ai préféré choisir d'être ailleurs (dont Kobo +). Comme ça, si demain Amazon me vire du jour au lendemain, la perte sera moins dure (aujourd'hui c'est plus ou moins 50% pour moi).
votre avatar
Je comprends parfaitement cette logique... Et je pense qu'on va dans la même direction, mieux vaut perdre en visibilité au début, que se prendre un mur à cause d'un acteur trop dangereux pour l'équilibre...
votre avatar
Je ne sais pas si le site qui sort en premier dans la recherche que tu as donnée est le tien, ni quelle est la clientèle visée, mais il y a quand même plusieurs problèmes d'ergonomie dessus.

Ce n'est que mon avis d'utilisateur mais il y a peu de chances que j'achète sur un site tel que celui-ci.
votre avatar
Mais quelque part c'est une stratégie qui existe partout.... regarde la grande distribution, tu paies plus pour placer ton produit en tête de gondole, et si tu paies pas tu te retrouvera tout en haut où seuls les basketteurs pro vont savoir que tu existes.

Dans toute chaine de distribution, ça a toujours été l'intermédiaire profite le plus, surtout si il arrive à se placer dans une posture monopolistique (que ce soit "naturellement", ou via un lobby pour devenir "autorité de certification" , "tiers de confiance", ...).

=> A part l'éducation populaire des consommateurs comme des producteurs je vois pas trop comment éviter ça. D'autant que ça arrange bien l'état aussi.
votre avatar
L'élément que je dénonce avec KDP Select, c'est qu'entrer dans ce programme interdit un auteur de diffuser son oeuvre ailleurs, car Amazon se réserve l'exclusivité.

Dans la grande distrib, sauf rares opécom, t'as pas d'exclusivité. Au contraire, t'as plutôt des absents parce que les fournisseurs et les distributeurs sont pas foutus de se mettre d'accord (cf Coca Colas à une époque avec Leclerc, et plus récemment tu as Findus qui disparaît d'Auchan et Intermarché après Innocent). Les industriels vont vouloir être présents dans le maximum de canal de vente (c'est la base du commerce), et, comme tu l'indiques, payer pour une tête de gondole lors d'une opécom et être mis en avant.

Kobo Plus, tu peux y inscrire ton bouquin et il n'y a aucune contrepartie d'exclusivité.

KDP Select, t'as pas le droit de vendre ailleurs.

Voilà l'abus de position dominante que je dénonce.

Et non, c'est pas normal une telle chose.
votre avatar
Je suis d'accord que c'est pas normal...
Je disais juste que c'est habituel :-(
votre avatar
Quelqu’un connaît-il un humain avec un cerveau qui fonctionne encore chez Microsoft et qui pourrait aider ?
Y'en a-t-il vraiment déjà eu ? :D

Content de ne pas dépendre de ces OS bourrés de restrictions arbitraires.
votre avatar
Cela montre qu'on ne peux plus faire confiance à Microsoft et aux boites de la tech US en général.
votre avatar
Cela montre qu'on ne peux plus faire confiance à Microsoft et aux boites de la tech US en général.
Voilà, c'est corrigé :D
votre avatar
Voilà, c'est corrigé :D
Là c'est corrigé
Cela montre qu'on ne peux plus faire confiance à Microsoft et aux boites de la tech US en général.
votre avatar
Avec cette série, j'ajoute "Parce que vous faisiez confiance ?" et on pourra remplir ce meme :D
votre avatar
I love dumping on my company as much as the next guy
Quel manque de hauteur de prise de vue…

  • Réalise-t-il qu'il faut une intervention active d'une personne à un niveau relativement élevé pour décoincer la situation ?

  • Réalise-t-il que les moyens de supports standard sont des portes fermées : articles techniques et bot mais impossible de contacter un réel support ?

  • Réalise-t-il que la combinaison des deux démontre (ce qui était prévisible) un dysfonctionnement pur et simple du support, sa disparition engendrée par le remplacement de l'humain par de l'automatisation (moins chère, mais inapte à s'adapter à la réalité) ? Littéralement l'impossibilité d'obtenir de l'aide par des canaux normaux, orientés de bas en haut.

  • Réalise-t-il qu'en plus du fiasco en dernière ligne, c'est toute une cascade de dysfonctionnements, à commencer par la violence naturelle de processus déshumanisés consistant à désactiver l'accès à des humains, car les humains ne sont vu que des entrées dans des bases et/ou fichiers ? L'absence de communication, d'implication des humains impactés dans des processus de ré-évaluation, est le reflet de cette maltraitance si habituelle dans l'informatique que l'on ne la questionne même plus.



Ces questions sont rhétoriques, mais forment aussi un appel à l'éveil de ceux d'entre-nous qui pourraient être à même de reproduire ces erreurs (ou le font déjà).

S'il faut retenir et conserver en tête en permanence une chose, c'est la suivante : un traitement d'humains par un processus technique (par exemple informatique) forme une maltraitance systémique.
Si nous participons à l'évolution ou l'exécution de ces processus, remettons activement sur la table la question du respect des personnes humaines en les incluant partout où elles sont concernées par ces traitements.

Résistons à la violence cachée au motif d'efficience, car cela nous amène à celle de Microsoft.
Ils forment encore une fois et plus que jamais un contre-exemple : saisissons-le à nouveau pour encore & toujours faire mieux qu'eux.
votre avatar
Est-il précisé que les développeurs sont tenus de suivre ce blog ?
Ça me rappelle la notification affichée sur alpha du centaure qu'une nouvelle autoroute intergalactique doit détruire la terre.