Lo sviluppatore di VeraCrypt, uno strumento di crittografia open source ampiamente utilizzato, ha lanciato un avvertimento critico agli utenti Windows: un’improvvisa chiusura dell’account da parte di Microsoft potrebbe presto rendere impossibile per molti l’avvio dei propri computer.
Il problema principale: una firma digitale revocata
Mounir Idrassi, lo sviluppatore giapponese di VeraCrypt, ha annunciato il 30 marzo che Microsoft ha chiuso l’account utilizzato per anni per firmare i driver di Windows e il bootloader.
Nell’ecosistema Windows, gli sviluppatori di software devono utilizzare certificati firmati digitalmente per dimostrare che il loro codice è autentico e non è stato manomesso dagli hacker. Ciò è particolarmente importante per i “bootloader”, il software che viene eseguito nel momento in cui accendi il computer. Poiché Microsoft controlla l’autorità che convalida queste firme, la perdita dell’accesso a un account sviluppatore non interrompe solo gli aggiornamenti; può rendere il software “non attendibile” dal sistema operativo stesso.
Cosa significa per gli utenti
L’impatto di questo divieto dipende in larga misura da come utilizzi il software:
- Utenti di crittografia file: Se utilizzi VeraCrypt solo per crittografare file o cartelle specifici, i tuoi dati rimarranno al sicuro e il software continuerà a funzionare normalmente per ora.
- Utenti di crittografia del sistema (alto rischio): Se utilizzi VeraCrypt per crittografare il tuo intero sistema operativo (crittografia pre-avvio), sei a rischio.
Idrassi avverte che, poiché Microsoft alla fine revocherà l’autorità di certificazione utilizzata per firmare l’attuale bootloader VeraCrypt, i dispositivi che fanno affidamento su di esso potrebbero riscontrare errori di avvio.
“Se la questione non sarà risolta entro quella data, ciò significherà essenzialmente una condanna a morte per VeraCrypt,” ha detto Idrassi a TechCrunch.
Cronologia delle preoccupazioni:
Sebbene non vi sia alcuna violazione immediata della sicurezza, si stima che la “data di scadenza” tecnica per l’attuale firma del bootloader causerà problemi intorno alla fine giugno, con un limite più definitivo per quanto riguarda l’autorità di certificazione intorno al luglio 2026.
Il problema della “potenza della piattaforma”.
Questa situazione evidenzia una crescente tensione nel panorama tecnologico moderno: l’estrema leva che i proprietari delle piattaforme (come Microsoft e Apple) esercitano sugli sviluppatori indipendenti.
Quando una grande azienda chiude un account sviluppatore, spesso attraverso sistemi automatizzati senza un chiaro percorso di ricorso, può inavvertitamente distruggere infrastrutture critiche di terze parti. Idrassi ha osservato che, sebbene possa ancora fornire aggiornamenti per gli utenti Linux e macOS, la sua base di utenti Windows è effettivamente bloccata finché Microsoft non ripristina la sua capacità di firmare un nuovo codice.
Questo non è un incidente isolato. Simili “blocchi degli account” hanno recentemente colpito gli sviluppatori della piattaforma Apple, spesso attivati da protocolli di sicurezza automatizzati privi di supervisione umana.
Riepilogo della situazione
| Caratteristica | Stato/Impatto |
|---|---|
| Crittografia file | Nessun impatto immediato; il software rimane funzionante. |
| Crittografia del sistema | Alto rischio ; potenziale incapacità di avviare il PC. |
| Utenti Linux/macOS | Inalterato; gli aggiornamenti continuano normalmente. |
| Utenti Windows | Gli aggiornamenti sono attualmente bloccati a causa del blocco dell’account. |
Conclusione
Il conflitto tra Microsoft e lo sviluppatore VeraCrypt serve come un duro promemoria dei rischi inerenti all’affidarsi a software di terze parti che dipende dal gatekeeping di un singolo fornitore. Per gli utenti Windows che utilizzano la crittografia dell’intero disco, i prossimi mesi determineranno se questo strumento di sicurezza essenziale sopravviverà o diventerà obsoleto.
