Il y a quelque chose qui coince chez Microsoft. Les développeurs de VeraCrypt, WireGuard et Windscribe ont subi une suspension de leur compte, sans réelle explication de la part de l’éditeur. Résultat : impossible de livrer des mises à jour. La situation devrait heureusement se résoudre très bientôt, suite à l’intervention d’un vice-président de Microsoft.

Mise à jour, 10/04 — Tout finit par s’arranger pour le mieux. Mounir Idrassi, le développeur de VeraCrypt, nous a en effet informé que son accès au portail Microsoft Partner Center a été rétabli suite à l’intervention de Scott Hanselmann. C’est aussi le cas pour Windscribe et pour WireGuard.

Article original, 9/04 — Mauvaise surprise pour les développeurs du logiciel de chiffrement VeraCrypt et du protocole VPN WireGuard, deux applications open source. Visiblement sans crier gare, Microsoft a suspendu leur compte. « Microsoft a résilié le compte que j’utilisais depuis des années pour signer les pilotes Windows et le bootloader », déplore Mounir Idrassi, l’auteur de VeraCrypt.

Microsoft aux abonnés absents

Il n’a reçu « aucun email ni avertissement préalable », affirme-t-il dans un message sur SourceForge remontant au 30 mars. Contacté par Next, il indique simplement qu’il « doit donc y avoir une nouvelle politique chez Microsoft », mais il regrette amèrement le « manque de transparence et de communication de la part de Microsoft »

Même discours ce 8 avril chez Jason A. Donenfeld, créateur et animateur principal de WireGuard. « Un jour, je me connecte pour publier une mise à jour et là, catastrophe : compte suspendu», décrit-il sur le forum de Hacker News.

Dans les deux cas, les développeurs n’ont personne vers qui se tourner chez Microsoft. « Je n’ai obtenu que des réponses automatisées et des bots. Je n’ai pas réussi à joindre un interlocuteur humain », regrette Mounir Idrassi.

Conséquences directes : impossible de publier des mises à jour

Dans les deux cas, les conséquences sont identiques : impossible de publier des mises à jour, ce qui est particulièrement problématique en cas de faille de sécurité. « Imaginez qu’il y ait une faille critique d’exécution de code à distance dans WireGuard, exploitée activement, et que je doive mettre à jour immédiatement (c’est purement hypothétique, pas de panique !) », explique Jason A. Donenfeld. « Dans un cas comme celui-là, Microsoft me laisserait avec les mains entièrement liées. »

Pour VeraCrypt, les mises à jour pour Linux et macOS restent possibles, mais Windows est la plateforme utilisée par la majorité des utilisateurs. Cette suspension de compte est « un coup dur pour le projet », et elle a « des conséquences sur mon activité professionnelle quotidienne », indique son développeur. Il précise à TechCrunch que pour le moment l’utilitaire continue de fonctionner normalement, et qu’aucune faille de sécurité n’a été identifiée récemment.

Si la situation devait rester en l’état, les utilisateurs de VeraCrypt ayant activé le chiffrement de leur système d’exploitation risquent de rencontrer un vrai gros problème à partir de cet été, prévient Mounir Idrassi : « Microsoft va révoquer l’autorité de certification qui a été utilisée pour signer le bootloader de VeraCrypt ». 

Une nouvelle certification Microsoft est nécessaire pour que le bootloader puisse continuer de fonctionner, mais sans accès à son compte, le développeur ne pourra pas appliquer cette nouvelle signature. Résultat : le démarrage de Windows chiffré avec VeraCrypt sera impossible. C’est l’équivalent d’« une condamnation à mort ».

Enfin un signe de vie

VeraCrypt et WireGuard ne sont pas les deux seuls dans cette panade. Le service VPN Windscribe a lui aussi subi une suspension de son compte Microsoft (vérifié depuis plus de 8 ans, selon l’éditeur). Mais dans ce dernier cas, l’éditeur a donné un signe de vie. Scott Hanselmann, vice-président de Microsoft et membre de l’équipe technique GitHub, a en effet répondu sur X que le problème devrait être réparé « sous peu ». 

En plus de Windscribe, le dirigeant a contacté Jason A. Donenfeld et Mounir Idrassi, ce que le développeur de VeraCrypt a confirmé auprès de Next. Il attend désormais de voir la suite qui sera donnée à son dossier :

« Le principal problème reste toutefois le manque de transparence et de communication de la part de Microsoft. J’ai été choqué de lire dans la notification affichée sur mon compte qu’aucun recours n’était possible ! […] Il s’agissait simplement d’un problème de communication et de vérification [selon Scott Hanselmann], mais il devrait y avoir une communication claire pour avertir les auteurs de ce type de situation. »

On peut espérer que la situation se débloque pour tout le monde rapidement. Dans sa réponse à Windscribe, Scott Hanselmann pointe vers un billet de blog du Hardware Dev Center remontant au 1ᵉʳ octobre 2025. Microsoft y détaille une nouvelle exigence de vérification de compte pour tous les partenaires du programme matériel Windows qui n’auraient pas complété l’opération de vérification depuis avril 2024. Ce programme s’occupe aussi de la certification des pilotes logiciels.

Le processus de vérification devait être effectué sous les 30 jours, à compter du 16 octobre 2025. Microsoft a mis à jour le billet le 3 mars : la vérification des comptes pour le programme a pris fin. « Les comptes qui n’ont pas finalisé avec succès cette vérification et ont reçu un statut « rejeté » ont été suspendus du programme Windows Hardware, et les soumissions provenant de ces comptes ne sont plus autorisées », ajoute l’entreprise.

Microsoft : « Tout est en train d’être corrigé »

Windscribe ne décolère pas : « Nous essayons de résoudre cela depuis plus d’un mois, et nous n’avançons pas. Le support est inexistant. Quelqu’un connaît-il un humain avec un cerveau qui fonctionne encore chez Microsoft et qui pourrait aider ? ». Le bruit engendré par cette affaire fait bouger les choses.

Il y a quelques heures à peine, Windscribe affirmait que « certaines personnes bienveillantes chez Microsoft ont pris contact et apparemment, cela est en cours de résolution ». Cette nuit toujours, Scott Hanselman ajoute avoir parlé à Mounir Idrassi et Jason Donenfeld : « Tout est en train d’être corrigé pendant qu’on parle ».