C’est l’histoire d’un algorithme un peu trop zélé qui a failli décapiter une partie de la sécurité mondiale sur Windows. Ces dernières semaines, plusieurs piliers de l’open source (dont VeraCrypt, WireGuard, Windscribe et MemTest86) se sont retrouvés brutalement exclus du Microsoft Hardware Dev Center. Sans explication, sans humain à qui parler, et surtout, sans possibilité de signer les pilotes indispensables au bon fonctionnement de leurs outils sur le système de Redmond.
Comme le rapporte avec une pointe d’ironie The Register, le géant de l’informatique a fini par rétablir les comptes après une levée de boucliers massive de la communauté. Mais le mal est fait : l’incident met en lumière la fragilité d’un écosystème où quelques bots peuvent décider de la survie d’un projet de sécurité.
Le piège de la vérification automatisée
Tout a commencé en octobre 2025, lorsque Microsoft a instauré un processus de vérification obligatoire pour son programme Windows Hardware. Les partenaires n’ayant pas validé leur identité dans les temps se voyaient promettre une suspension automatique. Le problème ? Même ceux ayant rempli les formulaires, comme Jason Donenfeld (créateur de WireGuard), ont vu leurs comptes désactivés sans prévenir.
Mounir Idrassi, l’homme derrière l’outil de chiffrement VeraCrypt, a été l’un des premiers à tirer la sonnette d’alarme le 30 mars. TechCrunch souligne la gravité de la situation : sans accès à son compte, Idrassi ne pouvait plus signer le chargeur d’amorçage de son logiciel. Résultat ? Les utilisateurs de VeraCrypt risquaient de ne plus pouvoir démarrer leur PC dès juillet 2026, date à laquelle Microsoft révoquera les anciennes autorités de certification. Un véritable « arrêt de mort » pour le projet si Microsoft n’était pas intervenu.
L’intervention des « humains » de Microsoft
Face au tollé sur X (ex-Twitter) et Reddit, les dirigeants de Microsoft ont dû sortir de leur réserve. Pavan Davuluri, président de Windows and Devices, a assuré que ses équipes travaillaient d’arrache-pied pour corriger le tir, tandis que le célèbre Scott Hanselman intervenait pour confirmer le rétablissement manuel des comptes. Bleeping Computer note que l’entreprise maintient avoir envoyé des e-mails d’avertissement, bien que la plupart des développeurs affirment n’avoir reçu que du silence… ou des réponses automatiques de bots leur demandant d’attendre 60 jours pour un appel.
Un point de défaillance unique pour la sécurité
Cette crise, documentée par PCMag et Tom’s Guide, soulève une question de fond : est-il sain que Microsoft soit l’unique juge et partie de ce qui a le droit de s’exécuter au niveau du noyau de Windows ?
En durcissant ses règles de confiance pour les pilotes (notamment avec la mise à jour de sécurité d’avril 2026), Microsoft crée un point de défaillance unique. Si un bot décide demain que votre VPN ou votre logiciel de chiffrement n’est plus « vérifié », c’est toute votre infrastructure de défense qui s’écroule. Pour l’instant, les comptes sont revenus, mais la confiance de la communauté open source, elle, reste sérieusement entachée.
