Les «fuites» de mails, qui handicapent depuis des mois le camp Clinton dans la présidentielle américaine, ont-elles été rendues possibles par une faille dans Windows, le système d'exploitation de Microsoft ? A minima, l'hypothèse est ouverte. Mardi, Terry Myerson, vice-président de l'entreprise en charge de Windows, a en effet annoncé qu'une vulnérabilité dévoilée la veille avait été mise à profit par un groupe de pirates informatiques baptisé «Strontium». C'est justement ce groupe, identifié par plusieurs entreprises de cybersécurité sous divers noms – «Fancy Bears», «Pawn Storm», «Sednit» ou encore «APT28» – et suspecté de travailler pour le renseignement militaire russe, dont la trace a été retrouvée au printemps dans le réseau du Comité national démocrate.
Selon Myerson, Strontium, qui «cible généralement des agences gouvernementales, des institutions diplomatiques et des organisations militaires», s'est livré récemment à une campagne de spear phishing («harponnage»), qui consiste à soutirer à des utilisateurs ciblés des informations (un mot de passe, par exemple) via un message personnalisé. Un type d'attaque dont il semble bien que John Podesta, le directeur de campagne de Clinton dont les courriels ont été publiés par WikiLeaks, ait été victime au mois de mars.
Cette histoire a par ailleurs donné lieu à une passe d'armes entre Microsoft et Google. C'est en effet le géant de Mountain View qui a identifié puis révélé lundi cette vulnérabilité dite zero day («jour zéro»), inconnue jusqu'alors et n'ayant aucun correctif, en même temps qu'une autre faille dans Flash, le logiciel d'Adobe. Lequel a pallié le problème le 26 octobre, mais le correctif de Microsoft ne sera disponible que le 8 novembre. Google a pour politique de porter à la connaissance du public les failles majeures découvertes par ses équipes au bout de sept jours. Microsoft a vivement réagi à cette annonce – une «décision décevante» pour Terry Myerson. Ce dernier a précisé que les utilisateurs de la dernière version de Windows 10 ne sont pas concernés.
Les failles zero day sont, depuis des années, une question épineuse. Ces vulnérabilités inconnues des fabricants font en effet l'objet d'un marché particulièrement opaque, et sont notamment exploitées par les services de renseignement. Les documents révélés par Edward Snowden, par exemple, en ont documenté l'usage par la NSA. L'an dernier, l'agence américaine a annoncé remonter aux fabricants 91% des failles qu'elle découvre. En restent donc 9% «dans la nature», qui peuvent longtemps rester inconnues. Au risque qu'elles soient également découvertes et utilisées par d'autres Etats.