VeraCrypt et WireGuard bloqués par Microsoft : risque pour vos données chiffrées

Et si votre logiciel de chiffrement cessait de fonctionner du jour au lendemain, sans aucun avertissement ? Ce scénario, que beaucoup auraient qualifié d'improbable, vient de se produire en mars 2026. Microsoft a suspendu les comptes de développeurs d'outils open source parmi les plus utilisés au monde, dont VeraCrypt et WireGuard, deux piliers de la sécurité informatique pour des milliers d'entreprises et de collectivités.

Ce n'est pas une cyberattaque. Ce n'est pas un bug. C'est une décision administrative automatisée, appliquée sans préavis suffisant, qui a temporairement paralysé la capacité de ces projets à publier des mises à jour signées pour Windows. Et les conséquences potentielles sont loin d'être anodines : des machines chiffrées avec VeraCrypt pourraient ne plus démarrer d'ici le 27 juin 2026 si le problème n'est pas entièrement résolu.

Dans cet article, nous vous expliquons ce qui s'est passé, pourquoi cette situation révèle une fragilité structurelle inquiétante, et ce que vous pouvez faire concrètement pour protéger votre organisation.

Ce qui s'est passé : la suspension silencieuse de Microsoft

En octobre 2025, Microsoft a annoncé une vérification obligatoire pour tous les partenaires du Windows Hardware Program, le programme qui permet aux développeurs de signer numériquement leurs pilotes Windows. Le délai accordé était de 30 jours. Les comptes n'ayant pas complété la vérification dans ce délai ont été suspendus automatiquement.

Le problème : cette communication n'a visiblement pas atteint tous les mainteneurs de projets open source. Fin mars 2026, Mounir Idrassi, le créateur et mainteneur de VeraCrypt, découvre son compte suspendu. Jason Donenfeld, le créateur de WireGuard, vit la même situation quelques jours plus tard. D'autres outils sont également touchés : Windscribe, MemTest86, et probablement d'autres moins médiatisés.

La formule de Jason Donenfeld résume bien l'absurdité de la situation : un jour, il se connecte pour publier une mise à jour de sécurité critique, et son compte est simplement bloqué. Sans recours immédiat, sans numéro de téléphone, sans interlocuteur humain accessible.

La bonne nouvelle : un vice-président de Microsoft est intervenu et la situation se débloque progressivement. Mais les dégâts en termes de confiance et de fiabilité sont réels.

Pourquoi VeraCrypt est dans une situation particulièrement critique

Parmi tous les outils touchés, VeraCrypt mérite une attention spéciale. VeraCrypt est l'un des logiciels de chiffrement de disque les plus répandus au monde. De nombreuses PME, cabinets d'avocats, structures de santé et collectivités l'utilisent pour protéger leurs données sensibles, que ce soit sur des ordinateurs portables, des postes fixes ou des clés USB.

Le chiffrement avec VeraCrypt repose sur un bootloader, c'est-à-dire un petit programme qui se lance avant Windows et qui demande la clé de déchiffrement. Ce bootloader doit être signé numériquement par un certificat UEFI reconnu par Windows. Or, ce certificat expire le 27 juin 2026.

Si la situation n'est pas résolue avant cette date, les machines dont le disque dur est entièrement chiffré avec VeraCrypt pourraient tout simplement refuser de démarrer. Ce n'est pas une hypothèse alarmiste : c'est la conséquence mécanique et prévisible d'un certificat expiré non renouvelé.

Pour les entreprises qui ont déployé VeraCrypt à grande échelle sans politique de mise à jour active, il est donc urgent de suivre l'évolution de ce dossier et de prévoir un plan de continuité.

Une dépendance structurelle dangereuse pour l'open source

Cette affaire dépasse largement le cas de VeraCrypt. Elle met en lumière une contradiction fondamentale : les projets open source les plus critiques pour la sécurité informatique mondiale dépendent, pour fonctionner sur Windows, d'un accès à une plateforme propriétaire contrôlée par une seule entreprise.

Cette dépendance crée une fragilité structurelle que beaucoup ignoraient. Un changement de politique, une procédure administrative mal communiquée, voire une simple erreur de traitement automatisé, suffit à bloquer la publication de mises à jour de sécurité pour des millions d'utilisateurs.

Dans un monde où les failles zero-day se découvrent quotidiennement et où les mises à jour rapides sont une nécessité absolue, cette situation est inacceptable. Elle illustre aussi pourquoi la diversification des outils de sécurité et la veille technologique active ne sont pas des luxes réservés aux grandes entreprises, mais des nécessités pour toute organisation soucieuse de sa continuité.

Ce que cela signifie concrètement pour votre organisation

Si vous utilisez VeraCrypt, WireGuard ou d'autres outils open source de sécurité dans votre environnement Windows, voici les points de vigilance à avoir en tête.

Premièrement, vérifiez vos déploiements de VeraCrypt. Identifiez les machines sur lesquelles le disque est entièrement chiffré avec le bootloader VeraCrypt. Ces postes sont les plus exposés au risque de non-démarrage en cas d'expiration du certificat non corrigée.

Deuxièmement, activez une veille sur les publications officielles de VeraCrypt. Le projet communiquera une mise à jour corrective dès que le certificat sera renouvelé. Cette mise à jour devra être déployée avant le 27 juin 2026.

Troisièmement, profitez de cette occasion pour revoir votre stratégie de chiffrement globale. VeraCrypt est un excellent outil, mais il n'est pas le seul. Selon votre contexte, des solutions intégrées à Windows comme BitLocker, couplées à une gestion centralisée des clés, peuvent offrir une meilleure résilience opérationnelle pour les PME.

Enfin, cette affaire rappelle l'importance d'avoir un inventaire à jour de tous les logiciels de sécurité utilisés dans votre organisation, avec leur version, leur état de maintenance et leurs dépendances critiques.

FAQ

VeraCrypt est-il encore sûr à utiliser en 2026 ? Oui, VeraCrypt reste un logiciel de chiffrement fiable et reconnu. La suspension des comptes Microsoft n'a pas affecté la sécurité du logiciel lui-même, mais uniquement sa capacité à publier des mises à jour signées pour Windows. La situation se débloque progressivement, mais il est conseillé de surveiller les communications officielles du projet.

Qu'est-ce qu'un certificat UEFI et pourquoi est-il important pour VeraCrypt ? Le certificat UEFI est une signature numérique qui permet à votre ordinateur de faire confiance au programme de démarrage de VeraCrypt. Sans ce certificat valide, Windows et le firmware de la machine refusent de lancer le bootloader VeraCrypt, ce qui rend le déchiffrement du disque impossible au démarrage. Son expiration le 27 juin 2026 est donc une échéance critique à suivre.

Comment savoir si mon entreprise est concernée par ce problème ? Vous êtes concerné si vous utilisez VeraCrypt en mode "chiffrement complet du disque système" sur des postes Windows. Si vous utilisez VeraCrypt uniquement pour chiffrer des volumes ou des conteneurs (fichiers .vc), le risque est moindre car il ne nécessite pas de bootloader signé.

WireGuard est-il également impacté pour mes connexions VPN ? La suspension du compte de Jason Donenfeld a temporairement bloqué la publication de nouvelles versions signées de WireGuard pour Windows. Les versions déjà installées continuent de fonctionner normalement. Une mise à jour corrective devrait être disponible prochainement. Il est recommandé de mettre à jour vers la dernière version dès qu'elle sera disponible.

Que faire si je n'ai pas de politique de gestion des mises à jour logicielles dans mon entreprise ? C'est précisément ce type d'incident qui montre l'importance d'une politique de patch management structurée. Un prestataire en cybersécurité peut vous aider à mettre en place un processus de suivi des mises à jour critiques adapté à votre taille et à vos ressources, sans complexité excessive.

Conclusion

L'affaire VeraCrypt et WireGuard n'est pas un incident isolé. Elle révèle une dépendance invisible mais réelle de nombreux outils de sécurité open source vis-à-vis de plateformes propriétaires, une dépendance qui peut, à tout moment, se transformer en vulnérabilité opérationnelle pour votre organisation.

La bonne réponse n'est pas de paniquer, ni d'abandonner les outils open source, mais d'adopter une approche de sécurité structurée : inventaire des outils, veille active, plan de continuité et accompagnement par des experts qui connaissent votre environnement.

L'équipe INTRUZION, basée à Grenoble, accompagne les PME et collectivités de l'Isère dans l'audit et la sécurisation de leur environnement informatique. Contactez-nous pour un Security Check ou un audit de votre politique de chiffrement et de gestion des mises à jour.