Sécurité Windows : la porte ouverte aux pilotes malveillants

Sécurité Windows : la porte ouverte aux pilotes malveillants

Quelle boulette ! Pendant près de trois ans, Microsoft a délaissé la mise à jour d'une liste noire de pilotes obsolètes et potentiellement vecteurs de virus, censée protéger Windows. En attendant une mise à jour de l'éditeur, prenez les devants !

Depuis l'arrivée de Windows 10, Microsoft ne cesse de multiplier les solutions de protection pour verrouiller l'accès au système et mener la vie dure aux pirates de tous poils. Parmi les techniques en vogue chez les hackers, la méthode du BYOD (Bring Your Own Driver ou Amenez votre propre pilote en français). Elle consiste, pour une personne malintentionnée, à modifier un pilote de périphérique (comme celui d'une imprimante par exemple) en y insérant du code malveillant afin d'atteindre les éléments sensibles du système comme le noyau. Conscient de la potentielle dangerosité des pilotes – puisqu'ils nécessitent des droits d'administrateurs pour être installés –, Windows exige qu'ils bénéficient d'une signature numérique. En d'autres termes, Microsoft doit les approuver auprès de leurs éditeurs. Cette procédure est en place depuis de très nombreuses années. Sans cette signature numérique, pas d'installation possible.

Cependant, même si le pilote est corrigé par son développeur, sa version vulnérable reste un bon moyen pour un pirate de se simplifier la tâche. Elle bénéficie toujours de la signature numérique apposée par Microsoft. Pour éviter le phénomène BYOD, Windows tient une liste noire de pilotes anciens, non mis à jour et pouvant présenter des failles de sécurité permettant aux pirates de s'en emparer. L'éditeur a également mis en place un système de protection du noyau comme le HVCI (Hypervisor-Protected Code Integrity) qui peut être activé dans les paramètres de sécurité Windows – dans Windows 10 et Windows 11 – et permet d'isoler le noyau en empêchant des attaques d'insérer du code malveillant dans des processus de haute sécurité. Bref, on se sent à l'abri. Ce serait effectivement le cas… si Microsoft allait au bout de son idée.

Le HVCI n'est pas activé par défaut dans Windows. © CCM

Sécurité Windows : quand Windows Update n'est pas à jour

Las, Microsoft semble avoir délaissé un maillon essentiel de sa chaîne de protection et de surveillance : la mise à jour de sa liste noire de pilotes potentiellement porteur de faille de sécurité. Normalement, Windows Update ajoute automatiquement de nouveaux pilotes logiciels à cette fameuse liste. Sauf que ce n'est pas le cas. C'est ce qu'a révélé Will Dorman, comme l'explique Ars Technica. Cet analyste principal des vulnérabilités pour la société américaine de sécurité Analygence a ainsi pu installer de vieux pilotes vulnérables sur un PC pourtant équipé du système de protection HVCI de Microsoft. Étonnant puisque les pilotes en question figuraient bien sur la liste de noire de Windows. Le système HVCI se révèle donc très inefficace. Surtout, il s'est aperçu que la fameuse liste noire n'était plus tenue à jour depuis 2019 ! Une vraie négligence de la part de Microsoft qui a donc laissé béante une brèche dans son système depuis près de trois ans. Alerté, Microsoft a indiqué être en train de résoudre le problème. Une prochaine mise à jour de Windows devrait le corriger. L'éditeur n'a toutefois pas annoncé de date.

Aussi, en attendant, restez vigilant sur les pilotes que vous installez sur votre PC. Mieux vaut télécharger un driver directement sur le site Web du constructeur du périphérique – ce qui exige quelques recherches parfois complexes, sur les composants de votre ordinateur et sur leurs fabricants. Pour vous simplifier la vie, vous pouvez aussi vous diriger vers un site spécialisé comme TousLesDrivers, qui fera une analyse complète de votre PC en cherchant et en installant les versions adaptées et à jour de tous les pilotes de votre PC (voir notre fiche pratique pour sur le sujet, qui détaille toutes les étapes).

Guide protection