Microsoft a fait une grave erreur avec la sécurité de Windows. Une liste noire des pilotes à bloquer n’est pas mise à jour depuis des années.
Des millions de PC Windows ont été exposés à des pilotes malveillants pendant des années. C’est la conclusion d’une enquête menée par Ars Technica. Une erreur dans la mise à jour d’une liste de pilotes à bloquer dans Windows a permis à de nouveaux logiciels malveillants d’échapper à cette vérification.
Les pilotes sont un instrument d’attaque populaire parmi les pirates, car ils ont souvent besoin d’accéder au noyau d’un système d’exploitation pour relier votre PC à un périphérique externe. Pour les pirates, les pilotes sont donc le moyen le plus rapide d’injecter des logiciels malveillants au cœur de votre système. Ils développent ensuite des mises à jour de pilotes qui contiennent des codes malveillants. En termes techniques, cela s’appelle une attaque de type « bring your own vulnerable driver ».
Comment Windows vous protège-t-il des pilotes malveillants ?
Microsoft est bien conscient de la menace que représentent les pilotes malveillants pour Windows. Le système d’exploitation dispose de certains mécanismes intégrés pour empêcher l’installation de mauvais pilotes. Ceux-ci vérifient le contenu et la source du conducteur pour évaluer si celui-ci est digne de confiance.
Vous trouverez ces paramètres dans le menu de sécurité de Windows, sous Sécurité des appareils > Isolation du noyau. Assurez-vous que l’option l’isolation du noyau est activée pour bloquer le code malveillant (voir la capture d’écran ci-dessous).
Liste périmée
Voilà la théorie. Dans la pratique, cependant, cette fonctionnalité s’est avérée donner un faux sentiment de sécurité, selon Ars Technica. Microsoft gère une liste de mises à jour de pilotes qui pourraient être potentiellement dangereuses pour les appareils Windows. Le géant du logiciel affirme que cette liste est mise à jour régulièrement.
Voilà donc exactement le problème. Les mises à jour de la liste noire des pilotes n’avaient pas été mises en œuvre de manière efficace depuis près de trois ans, de sorte que la sécurité intégrée reposait sur une liste périmée. Les pilotes de logiciels malveillants plus récents pourraient donc passer les contrôles de Windows sans être détectés. Une fois qu’un pilote a accès au noyau, il est difficile d’intervenir.
Microsoft a refusé de reconnaître immédiatement son erreur, mais le 14 octobre, elle a tout de même déployé une mise à jour de la liste noire. Il s’agit d’une mise à jour isolée ; il n’est pas certain qu’elle permette à la fonction de rester automatiquement à jour. Un chercheur en cybersécurité nommé Will Dorman a développé un script qui peut être exécuté via PowerShell pour bloquer les pilotes.