À Las Vegas, les conférences Black Hat et DEF CON viennent de s’achever, et les avertissements destinés aux utilisateurs de Windows 10 s’y sont multipliés. Selon les chercheurs de l’entreprise de sécurité Eclypsium, qui ont donné une présentation lors de la convention de hackers DEF CON, une faille Windows existe et représente un risque pour les millions d’utilisateurs de Windows 10.

En résumé, les chercheurs ont trouvé un défaut de conception commun à tous les pilotes des périphériques matériels de plusieurs fournisseurs, y compris Huawei, Intel, NVIDIA, Realtek Semiconductor, SuperMicro et Toshiba. Au total, 20 fournisseurs sont concernés et incluent tous les fournisseurs majeurs de BIOS (Basic Input Output System). La nature de la faille pourrait même compromettre tous les appareils fonctionnant sous Windows 10.


L’équipe de chercheurs d’Eclypsium étudiait à l’origine la façon dont les pilotes peu sûrs pouvaient attaquer un appareil et s’implanter dans son système. Ils ont ainsi expliqué lors de leur présentation : « Les pilotes qui fournissent un accès au BIOS ou aux composants du système afin de mettre à jour les micrologiciels, d’exécuter des diagnostics ou de personnaliser certaines options, peuvent permettre à des intrus d’utiliser les outils d’un système pour en faire des menaces qui peuvent se propager de manière invisible ».

Il a été constaté que les pilotes avaient des défauts de conception qui permettaient à des menaces d’utiliser des applications non privilégiées, afin de compromettre des parties du système d’exploitation Windows qui ne devraient être accessibles qu’aux applications privilégiées. Cela inclut notamment le noyau Windows, au cœur même du système d’exploitation.

Les pilotes concernés n’étaient pourtant pas des pilotes indésirables. Ils proviennent tous des mêmes fournisseurs fiables, ont été approuvés par les autorités de certification et attestés par Microsoft. Étant donné que les pilotes sont conçus pour mettre à jour les micrologiciels de l’appareil, la gravité du problème se fait de plus en plus évidente.

Les chercheurs ont déclaré qu’il existait « de multiples exemples d’attaques qui tirent profit de cette catégorie de pilotes défectueux ». Leurs exemples incluaient notamment la stratégie de Slingshot APT, qui installait des programmes malveillants furtifs dans les micrologiciels des appareils capables même de résister à une réinstallation complète de Windows.

Mickey Shkatov, un des chercheurs principaux d’Eclypsium, a déclaré à ZDNet : « Certains fournisseurs, comme Intel ou Huawei, ont déjà publié des mises à jour ». D’autres, qui sont des fournisseurs BIOS indépendants, comme Phoenix et Insyde, « diffusent leurs mises à jour à leurs fabricants d’équipement d’origine ».

Les recherches d’Eclypisum révèlent que la faille de sécurité s’applique à « toutes les dernières versions de Microsoft Windows » et qu’« il n’existe actuellement aucun mécanisme universel permettant d’empêcher un appareil Windows de charger un de ces pilotes malveillants ». Cela étant, des stratégies de groupe pour Windows Enterprise, Pro et Sever pourraient fournir une certaine protection pour « un sous-ensemble d’utilisateurs », selon les propos des chercheurs.

La liste complète des fournisseurs qui ont publié des mises à jour, que vous devriez installer le plus vite possible, est disponible ici.

Dans une déclaration, Microsoft a annoncé : « Pour exploiter les pilotes vulnérables, l’intrus doit avoir déjà compromis l’ordinateur auparavant. Pour limiter ce genre de problèmes, Microsoft recommande à ses clients l’utilisation de Windows Defender Application Control, qui permet de bloquer les logiciels et les pilotes vulnérables ». En plus d’activer l’intégrité de la mémoire pour les appareils compatibles avec Windows Security, Microsoft recommande également d’utiliser Windows 10 et le navigateur Edge « pour la meilleure des protections ».