Installer ces pilotes rend votre PC beaucoup plus vulnérable aux cyberattaques

Un PC gamer vulnérable sans le savoir
(Crédit photo: Shutterstock)

Si vous utilisez des modules de triche (cheat trainers) pour amplifier les caractéristiques de votre personnage ou passer des niveaux trop compliqués dans un jeu vidéo PC, vous risquez de mettre votre ordinateur en danger. En effet, les développeurs de ce type de programmes utilisent les vulnérabilités de vos pilotes matériels (signés) pour contourner les mécanismes anti-triche des éditeurs de jeux. Un acte qui peut avoir des conséquences néfastes sur l’intégrité de votre machine.

Cependant, selon un nouveau rapport d'ESET, ces vulnérabilités s’avèrent également exploitées par plusieurs groupes de menaces persistantes avancées (APT). Le géant de la sécurité en ligne a récemment effectué un examen approfondi des types de vulnérabilités qui apparaissent couramment dans les pilotes de noyau (composant au centre du système d’exploitation Windows). La société a même localisé plusieurs pilotes vulnérables au sein de logiciels de jeu relativement populaires.

Les pilotes non signés ou ceux présentant des vulnérabilités peuvent souvent devenir une porte d'entrée non surveillée vers le noyau de Windows. Bien que le chargement direct d'un pilote malveillant non signé ne soit plus possible sous Windows 11 (et même Windows 10), alors que les rootkits appartiennent désormais au passé, il existe toujours des moyens de charger du code malveillant dans le noyau de Windows, notamment en détournant des pilotes légitimes et signés.

En fait, il existe de nombreux pilotes hardware ou logiciels qui offrent des fonctionnalités permettant d'accéder pleinement au noyau avec un effort minimal. Au cours de ses recherches, ESET a trouvé des vulnérabilités dans le logiciel de profil μProf d'AMD, l’outil d'analyse comparative Passmark et l'utilitaire système PC Analyser. Heureusement, les développeurs de ces programmes ont depuis déployé des patchs pour corriger ces vulnérabilités, après qu'ESET les ait contactés.

Rendre les pilotes vulnérables

Une technique courante utilisée par les cybercriminels pour exécuter un code malveillant dans le noyau de Windows est connue sous le nom de BYOVD (Bring Your Own Vulnerable Driver). Peter Kálnai, chercheur principal spécialiste des malwares chez ESET, a livré plus de détails sur cette technique :

"Lorsque les créateurs de malwares ont besoin d'exécuter du code malveillant dans le noyau Windows sur des systèmes x64, avec l'application de la signature du pilote en place, transporter un pilote de noyau signé vulnérable semble devenir une option viable. Cette technique est connue sous le nom de Bring Your Own Vulnerable Driver, abrégé en BYOVD, et a été maintes fois exploitée par des acteurs APT de premier plan".

Parmi les exemples d'acteurs utilisant BYOVD, citons le groupe APT Slingshot qui a implémenté son module principal Cahnadr en tant que pilote de noyau facilement téléchargeable, ainsi que le groupe APT InvisiMole que les chercheurs d'ESET ont découvert en 2018. Le ransomware RobinHood est encore un autre exemple qui exploite un pilote de carte mère GIGABYTE vulnérable pour désactiver la signature du pilote et installer son propre pilote malveillant.

Dans un long communiqué, ESET explique que la sécurité basée sur la virtualisation, la révocation des certificats et le blocage des pilotes sont autant de techniques d'atténuation utiles pour ceux qui s'inquiètent des dangers cités ci-dessus.

Anthony Spadafora

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.