Dotés d’importants privilèges d’accès, les pilotes informatiques constituent une sérieuse menace pour les systèmes Windows.  

Pour interagir avec les composants matériels auxquels il a accès, le système d’exploitation Windows s’appuie sur une batterie de petits logiciels très pratiques : les drivers ou pilotes informatiques.

Des chercheurs en sécurité de la société Eclypsium, viennent de montrer, à l’occasion de la conférence DEF CON, qui vient de se dérouler à Las Vegas, que ces programmes peuvent également introduire de sérieuses failles de sécurité.

Les experts se sont intéressés à ce sujet à la suite de récentes attaques telles que LoJax ou Slingshot APT, où les pirates s’appuyaient sur des drivers.

Les drivers ont souvent des privilèges d’accès intéressants: par nature, ils ont accès à certaines zones mémoire particulièrement protégées du système d’exploitation, comme ceux du noyau.

Certains permettent même d’accéder et modifier des firmwares (1) , y compris celui du BIOS.

De quoi intéresser les pirates qui cherchent à élever les privilèges d’accès sur un système qu’ils viennent de pénétrer, et qui souhaitent y installer de manière durable une porte dérobée.

Ø Or, il y a beaucoup de drivers qui présentent des failles de sécurité et qui peuvent donc être détournés à des fins malveillants.

En seulement deux semaines, les chercheurs d’Eclypsium en ont découvert plus d’une quarantaine, et ce n’est pas fini !

Ils semblent en effet être très répandus.

Ø Pourtant, tous ces drivers proviennent de fournisseurs reconnus et certifiés par Microsoft.

Parmi eux figurent de grands noms tels que Intel, Gigabyte, SuperMicro, Nvidia, Phoenix, Huawei, Toshiba, Asustek, MSI, Realtek…

Se prémunir contre ces dangers n’est pas simple, car «il n’existe pas de mécanisme universel pour éviter le chargement de ces drivers vulnérables sur une machine Windows », indiquent les chercheurs.

Les versions professionnelles de Windows permettent, dans certains cas, mais non de manière très simple, de protéger les utilisateurs par le biais des fonctions de gestion centralisée (group policies).

Il appartient donc à Microsoft et à ses partenaires de corriger rapidement les failles trouvées et, surtout, d’améliorer à l’avenir la qualité de leurs pilotes.

Intel et Huawei ont d’ores et déjà diffusé des patchs pour les drivers mis en cause.

Chez Phoenix et Insyde, la création d’un correctif est en cours. Par contre, MSI et Toshiba, par exemple, n’ont pas réagi après avoir été alertés par Eclypsium.

Les chercheurs devraient publier prochainement sur GitHub des outils et des vidéos relatifs à leur analyse.

* En informatique, un « driver » ou pilote est un programme permettant à un système d'exploitation de reconnaître un matériel et de l'utiliser.

(1) Dans un système informatique, un firmware (ou micrologiciel, microcode, logiciel interne, logiciel embarqué ou encore microprogramme) est un programme intégré dans un matériel informatique (ordinateur, photocopieur, automate (API, APS), disque dur, routeur, appareil photo numérique, etc.) pour qu'il puisse fonctionner.