En résiliation silencieuse deux comptes développeurs critiques pour la chaîne d'approvisionnement logicielle de Windows, Microsoft a mis en péril la capacité de mise à jour de deux des outils de sécurité open source les plus utilisés au monde. L'affaire VeraCrypt/WireGuard expose crûment une dépendance structurelle que l'écosystème libre s'était longtemps refusé à regarder en face..Fin mars 2026, les utilisateurs de VeraCrypt commençaient à s'inquiéter du silence prolongé de Mounir Idrassi, le développeur principal du logiciel. Basé au Japon, cet ingénieur maintient depuis des années VeraCrypt, l'héritier spirituel du légendaire TrueCrypt disparu en 2014, devenu la référence mondiale du chiffrement de disque sous licence libre. Sa disparition s'est finalement expliquée dans un message posté sur les forums SourceForge : Microsoft avait purement et simplement résilié le compte qu'il utilisait depuis des années pour signer les pilotes Windows et le chargeur d'amorçage de son logiciel.
« Je n'ai reçu aucun courriel de Microsoft, ni aucun avertissement préalable », a-t-il déclaré à 404 Media. La seule communication qu'il ait obtenue est un message lapidaire indiquant que son organisation « ne remplit pas actuellement les conditions requises pour passer la vérification » sans préciser lesquelles, et sans possibilité de recours. Idrassi a bien tenté de contacter le support Microsoft, mais n'a reçu en retour que des réponses automatisées qu'il soupçonne d'avoir été générées par une IA. « C'est frustrant, ils pourraient au moins expliquer ce qui ne va pas », a-t-il confié.
La conséquence est immédiate et brutale : les mises à jour Windows de VeraCrypt ne peuvent plus être publiées. Les versions Linux et macOS, elles, peuvent toujours être distribuées, mais Windows représente la plateforme majoritaire de ses utilisateurs.
VeraCrypt, héritier d'une longue histoire du chiffrement libre
Pour comprendre l'ampleur de ce qui est en jeu, il faut replacer VeraCrypt dans son contexte historique. En mai 2014, TrueCrypt, alors le standard incontesté du chiffrement de disque open source, avait cessé toute activité de manière aussi soudaine que mystérieuse. Ses développeurs, dont l'identité n'a jamais été pleinement établie, avaient publié un message énigmatique conseillant aux utilisateurs de migrer vers BitLocker, le concurrent propriétaire de Microsoft. La communauté avait alors unanimement soupçonné une pression des autorités, sans qu'aucune preuve concrète ne soit jamais apportée.
VeraCrypt était né de ces cendres. Mounir Idrassi avait repris le code source de TrueCrypt, corrigé les failles identifiées par deux audits de sécurité indépendants, et renforcé les algorithmes de chiffrement. Depuis, le logiciel est devenu la solution de référence pour qui souhaite chiffrer des partitions entières ou des volumes individuels sous Windows, Linux et macOS. Parmi ses fonctionnalités les plus remarquées figure la possibilité de créer un volume caché à l'intérieur d'un volume chiffré : si l'utilisateur est contraint de révéler son mot de passe, il peut divulguer un premier mot de passe donnant accès à des données anodines, tandis que les données réellement sensibles demeurent invisibles et indéchiffrables.
Ce profil d'utilisateurs (journalistes d'investigation, militants, lanceurs d'alerte, personnels médicaux ou juridiques soumis au secret professionnel, ainsi que toutes les entreprises soucieuses de protéger leur propriété intellectuelle) explique pourquoi une interruption des mises à jour de VeraCrypt n'est pas un simple désagrément technique. C'est un risque opérationnel pour des milliers de personnes dont la liberté ou la sécurité peut dépendre de la robustesse de leurs données chiffrées.
Une bombe à retardement pour les utilisateurs de VeraCrypt
Au-delà du blocage des mises à jour, la situation cache une menace encore plus grave pour les utilisateurs existants. Les appareils faisant tourner VeraCrypt pourraient bientôt ne plus démarrer : Microsoft va révoquer l'autorité de certification utilisée pour signer le chargeur d'amorçage de VeraCrypt, et une nouvelle signature basée sur une nouvelle autorité de certification Microsoft sera obligatoire pour les chargeurs d'amorçage à partir de juillet 2026. Or, sans accès au compte Partner Center, Idrassi est dans l'impossibilité d'effectuer cette mise à jour critique.
« Si le problème n'est pas résolu d'ici là, ce serait essentiellement une peine de mort pour VeraCrypt », a-t-il averti. Concrètement, des milliers d'utilisateurs qui ont activé le chiffrement intégral de leur disque système avec VeraCrypt risquent de se retrouver avec une machine qui refuse de s'allumer après la date fatidique. Pour un logiciel de sécurité conçu précisément pour protéger les données sensibles, l'ironie est cruelle.
WireGuard et Windscribe : l'incident n'est pas isolé
Si l'affaire VeraCrypt a d'abord semblé être un incident isolé, il est rapidement apparu qu'elle n'était que la partie visible d'un problème plus systémique. Jason Donenfeld, le créateur du protocole VPN open source WireGuard, a lui aussi découvert qu'il était bloqué en dehors de son compte développeur Microsoft, et se retrouve dans l'incapacité de signer des pilotes ou d'expédier des mises à jour pour les utilisateurs Windows. WireGuard n'est pas un projet obscur : c'est le protocole sur lequel s'appuient des services VPN commerciaux majeurs comme Proton VPN, Mullvad ou Tailscale, qui comptent plusieurs dizaines de millions d'utilisateurs.
« Aucun avertissement, aucune notification. Un jour, je me connecte pour publier une mise à jour, et boum, compte suspendu », a raconté Donenfeld. Il a tenté de passer par le processus de vérification d'identité mais malgré une confirmation de vérification réussie de la part du prestataire tiers mandaté par Microsoft, son accès est resté suspendu.
Windscribe, un autre fournisseur d'outils de confidentialité en ligne, a publié sur X qu'il avait été exclu du Partner Center après pourtant plus de huit ans de compte vérifié pour signer ses pilotes. « On essaie de résoudre ça depuis plus d'un mois, sans avancer. Le support est inexistant. Quelqu'un connaît un être humain doté d'un cerveau encore fonctionnel chez Microsoft ? »
Le programme de vérification des partenaires Windows : un coupable silencieux
La piste d'explication la plus solide est technique et administrative. Donenfeld a retrouvé une page sur le site de Microsoft...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.