Un matin, Jason Donenfeld tente de publier une mise à jour de WireGuard. Son compte Microsoft est suspendu. Aucune explication, aucun mail préalable. Quelques heures plus tard, Mounir Idrassi, le développeur de VeraCrypt, constate la même chose. Et avec son compte gelé, les utilisateurs Windows qui chiffrent leur disque dur avec son logiciel risquent de ne plus pouvoir démarrer leur ordinateur.
Quatre outils de sécurité paralysés d’un coup
Microsoft a suspendu sans préavis les comptes de certification de quatre projets open source parmi les plus utilisés dans le monde : WireGuard, un protocole VPN adopté par des millions d’appareils, VeraCrypt, l’outil de référence pour chiffrer ses fichiers et ses disques, Windscribe, un service VPN grand public, et MemTest86, utilisé pour vérifier la RAM des ordinateurs. Ces outils n’ont rien d’anecdotique. WireGuard est intégré dans Linux, Android et des dizaines de routeurs commerciaux. VeraCrypt remplace depuis 2013 feu TrueCrypt, et son installation sur Windows est recommandée par des dizaines d’organisations gouvernementales et de sécurité à travers le monde.
La conséquence directe : aucun de ces développeurs ne peut publier de nouvelle version signée pour Windows. Or sans signature valide, Windows bloque l’installation des mises à jour. Pour les utilisateurs de VeraCrypt qui chiffrent leur disque de démarrage, la situation devient critique : si le certificat expire avant une mise à jour, Windows peut refuser de lancer le logiciel au démarrage, et la machine reste bloquée sur un écran noir.
Les développeurs apprennent la nouvelle par erreur
« Aucun avertissement, aucune notification. Un jour j’essaie de me connecter pour publier une mise à jour, et là : compte suspendu », a déclaré Jason Donenfeld à TechCrunch. Mounir Idrassi, le mainteneur de VeraCrypt, a été plus direct : « Microsoft a fermé le compte que j’utilise depuis des années pour signer les pilotes et le chargeur de démarrage Windows. Aucun email, aucun avertissement préalable. »
C’est uniquement après que TechCrunch et BleepingComputer ont publié leurs articles que Microsoft a réagi. Scott Hanselman, vice-président chez Microsoft, a dû intervenir personnellement pour débloquer les comptes. La société a ensuite reconnu par la voix de son vice-président exécutif Pavan Davuluri que « les publications sur les réseaux sociaux et les entretiens avec des journalistes ont contribué à déclencher une réaction ».
Cette phrase, assez inhabituelle dans la communication corporate, résume à elle seule le dysfonctionnement. Des développeurs qui maintiennent des outils critiques pour la sécurité de millions d’ordinateurs ont dû passer par la presse pour qu’un groupe de 220 000 salariés daigne leur répondre.
La procédure oubliée depuis octobre 2025
Microsoft a fourni une explication technique. Depuis octobre 2025, la société exige que tous les partenaires du Windows Hardware Program complètent une vérification obligatoire de leur compte. Des emails de rappel ont été envoyés pendant plusieurs semaines, et un délai de 30 jours avait été fixé pour se conformer. Les développeurs qui ne l’ont pas fait ont vu leur compte automatiquement suspendu début avril 2026.
Hanselman a qualifié la situation de « simple formalité administrative ». Les développeurs concernés contestent cette version. Donenfeld affirme ne jamais avoir reçu les emails de Microsoft. Idrassi dit la même chose. Windscribe, qui avait pourtant un compte vérifié depuis huit ans auprès du Partner Center de Microsoft, s’est retrouvé dans la même situation.
La question de fond est là : comment un email de vérification administrative peut-il suffire à geler, sans aucun appel téléphonique ni vérification manuelle, des projets qui comptent des dizaines de millions d’utilisateurs ? VeraCrypt n’est pas une application de dessin. C’est un logiciel dont dépend la confidentialité des données d’avocats, de journalistes, de militants, et d’entreprises entières.
Ce que risquent concrètement les utilisateurs
Pour les utilisateurs de WireGuard et de Windscribe, le danger immédiat est limité : ils ne recevront pas les nouvelles versions avec les derniers correctifs de sécurité. C’est déjà problématique pour un protocole VPN, qui doit être maintenu à jour pour corriger les failles découvertes au fil du temps.
La situation de VeraCrypt est plus grave. Le logiciel permet de chiffrer l’intégralité d’un disque dur, y compris la partition de démarrage. Pour cela, il installe son propre chargeur de démarrage avant Windows. Ce chargeur doit être signé avec un certificat valide reconnu par Microsoft. Si ce certificat expire et qu’aucune mise à jour ne peut être publiée, les machines déjà configurées avec VeraCrypt risquent de ne plus booter correctement. Idrassi l’a formulé clairement à TechCrunch : « les utilisateurs Windows pourraient rencontrer des problèmes de démarrage ».
Selon CyberInsider, Microsoft a rétabli les comptes suspendus après l’intervention de la presse. Mais les mises à jour n’ont pas pu être publiées pendant plusieurs jours. En cybersécurité, plusieurs jours sans mise à jour sur un outil critique peuvent suffire.
La dépendance à Microsoft, l’angle mort de l’open source
Cette affaire met en lumière une tension structurelle souvent ignorée. Les outils open source les plus utilisés dans le monde pour protéger la vie privée et la sécurité des données tournent sur Windows, et Windows appartient à Microsoft. Pour qu’un pilote fonctionne sur Windows, il doit être signé par Microsoft. Ce n’est pas une obligation morale, c’est une obligation technique inscrite dans le système depuis Windows 10.
Le résultat : des projets souvent maintenus par une seule personne, sans budget, dépendent d’une multinationale de 3 000 milliards de dollars de capitalisation pour continuer à fonctionner. Une vérification administrative ratée, une adresse email incorrecte, une notification perdue dans un filtre spam, et des millions d’utilisateurs se retrouvent sans filet de protection.
Ce type de blocage a déjà eu lieu. En 2022, Meta avait suspendu plusieurs comptes de chercheurs en sécurité qui documentaient les failles de ses plateformes. En 2023, GitHub avait temporairement désactivé des dépôts d’outils utilisés pour contourner la censure en Iran. Dans chaque cas, la décision avait été prise de manière automatique, sans examen humain préalable, et corrigée uniquement sous pression médiatique.
Que faire si vous utilisez ces outils
Microsoft ayant rétabli les comptes, les développeurs peuvent à nouveau publier des mises à jour. Pour VeraCrypt, il est recommandé de vérifier que la version installée est à jour dès que possible, en particulier si le disque de démarrage est chiffré. WireGuard et Windscribe peuvent également être mis à jour normalement.
L’incident a poussé plusieurs voix de la communauté open source à relancer le débat sur la nécessité de mécanismes alternatifs de signature de code, indépendants des grandes plateformes. Le projet Sigstore, soutenu par Google, Linux Foundation et Microsoft elle-même, propose une infrastructure décentralisée. Son adoption progresse lentement dans l’écosystème Linux, mais reste quasi absente sur Windows. L’Agence européenne pour la cybersécurité (ENISA) avait recommandé en 2024 de réduire la dépendance à des acteurs uniques pour la certification de logiciels critiques. Cet avis, visiblement, n’a pas encore trouvé d’oreille à Redmond.
