Ces derniers jours, plusieurs développeurs de projets largement utilisés dans Windows se sont trouvés de manière inattendue sans accès à leurs comptes dans le programme matériel de Microsoft, ce qui a empêché de nouvelles versions et correctifs d'être publiés. Parmi les personnes touchées figuraient des outils appelés WireGuard, VeraCrypt, MemTest86 et Windscribe, dont les auteurs ont signalé des blocages soudains et des difficultés à contacter le soutien.
Microsoft a maintenant lancé une procédure d'urgence pour accélérer le retour de ces comptes après l'avalanche des plaintes ont forcé une réponse publique. La société explique que la suspension était due au manque de vérification d'identité nécessaire pour participer au programme Windows Hardware, une exigence qui, selon ses fonctionnaires, a été communiquée par courrier depuis octobre 2025. La note officielle est disponible sur le blog de Microsoft pour les développeurs de matériel: Microsoft Avis : Mesures à prendre - Vérification des comptes du programme Windows Hardware.
Les personnes touchées ont décrit une expérience différente : des comptes fermés inopinés et une procédure d'appel lourde ou inaccessible. Le développeur de VeraCrypt publié dans les forums son problème avec la fin du compte et l'impossibilité d'atteindre le soutien humain; son message peut être lu dans SourceForge: Véra Crypt thread. De même, des chefs de projet comme WireGuard et d'autres ont signalé des blocages et des temps de résolution longs dans des threads publics, comme le suivi de Hacker News: débat sur les blocus. Les messages des comptes officiels des projets concernés ont également montré le problème, par exemple les publications de MemTest86 et Windscribe dans X: MemTest86 et Éoliennes.
De Microsoft, les membres de l'équipe - y compris Scott Hanselman - ont expliqué publiquement que la vérification d'identité est nécessaire parce que le programme permet de distribuer les contrôleurs au niveau du noyau, les pièces logicielles qui fonctionnent avec des privilèges très élevés et que, dans de mauvaises mains, peuvent être exploités dans des attaques sophistiquées. La conversation de Hanselman au sujet de cette exigence se retrouve dans sa libération sur X: publié par Scott Hanselman. Pour ceux qui ont besoin d'un contexte technique, Microsoft conserve la documentation sur la signature des conducteurs et les politiques de sécurité: Signature du pilote - Microsoft Docs.
La rapidité avec laquelle les comptes ont été fermés et les interruptions dans la capacité de publier des mises à jour soulèvent des questions légitimes sur la capacité de répondre aux vulnérabilités. Si un projet perd temporairement la possibilité de lancer des correctifs, la fenêtre d'exposition de l'utilisateur peut être élargie, avec le risque qui en résulte pour les systèmes qui dépendent de ces projets.
Face à la pression publique, Microsoft a ajouté un chemin de récupération temporaire: une procédure accélérée qui va en ouvrant un dossier de support à travers le programme Hardware; c'est, selon l'entreprise, le moyen le plus rapide pour demander la réinstallation de l'accès. La demande devrait comprendre une justification commerciale claire de l'utilisation prévue du centre de Dev Hardware et, bien que le compte puisse être récupéré rapidement, les obligations de conformité en suspens doivent être remplies pour récupérer le plein accès.
La compagnie a également abordé les problèmes signalés avec le flux de soutien: elle a recommandé qu'il soit authentifié avec le compte correct lors de l'envoi des billets et a proposé de continuer à insister auprès du copilote adjoint pour générer une incidence si la voie automatisée ne fonctionne pas. Pour ceux qui ne sont pas en mesure d'ouvrir des applications pour les canaux standard, Microsoft a fourni un moyen de contact alternatif pour démarrer le processus. Toutes les explications et le résumé du processus figurent dans l'avis de la compagnie mentionné ci-dessus: détails de la procédure et autres contacts.
Il est important de souligner que Microsoft n'a pas précisé la durée de ce mécanisme temporaire, donc les développeurs touchés ont été exhortés à agir rapidement s'ils veulent minimiser le temps sans accès.
Au-delà de la résolution immédiate, cet épisode montre un dilemme connu entre la sécurité et l'expérience du développeur : des mesures de protection de l'écosystème - comme la vérification de l'identité de ceux qui peuvent signer les contrôleurs - sont techniquement justifiées, mais sa mise en œuvre nécessite des canaux de communication robustes et un support pour ne pas interrompre la maintenance des logiciels critiques. Autrement dit, le renforcement de la sécurité ne peut entraîner un manque de prévisibilité qui empêche la distribution des patchs.
Pour les projets et les gestionnaires de logiciels travaillant avec des composants sensibles sur Windows, il convient de tirer quelques leçons pratiques: tenir à jour les données de contact associées aux comptes de distributeurs, vérifier à l'heure les avis de vérification qui arrivent par courrier et voir d'autres circuits de distribution ou de livraison patch dans des situations exceptionnelles. Il est également raisonnable pour Microsoft de revoir ses processus d'établissement de rapports et ses outils d'appui pour réduire les frictions lorsque la vérification administrative menace de paralyser les mises à jour critiques.
À mesure que les comptes seront rétablis et que les exigences de conformité seront remplies, la communauté continuera de surveiller la façon dont Microsoft équilibre la nécessité de protéger le système d'exploitation avec l'obligation de permettre aux développeurs fiables de maintenir et de mettre à jour les logiciels essentiels. Afin de suivre l'évolution de l'affaire et les réponses des projets concernés, les principales sources mentionnées dans ce texte et les canaux officiels des projets concernés, tels que: Garde-fils et la page VeraCrypt: VeraCrypt.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...