Tous lesdrivers et sécurité : réduire les risques de pilotes malveillants

Sécurité
Technicien en cybersécurité analysant des pilotes système sur un poste de travail dans un centre opérationnel informatique

Un poste de travail qui redémarre en boucle après une mise à jour de carte graphique, un antivirus qui cesse de fonctionner sans alerte visible, un écran bleu sur un serveur de production un vendredi soir : dans la plupart de ces cas, le problème vient d’un pilote. Les drivers Windows fonctionnent au niveau du noyau, avec des privilèges équivalents à ceux du système d’exploitation lui-même. Quand un pilote est vulnérable ou carrément malveillant, la surface d’attaque est maximale.

Sommaire
Attaque BYOVD : quand un pilote légitime devient une armeMicrosoft Vulnerable Driver Blocklist : fonctionnement et limites concrètesVérifier que HVCI est bien actifPilotes kernel-mode : réduire la surface d’attaque au quotidienContrôle d’intégrité du code avec WDACAudit des drivers installés : par où commencerLes pilotes tiers à surveiller en priorité

Attaque BYOVD : quand un pilote légitime devient une arme

La technique BYOVD (Bring Your Own Vulnerable Driver) consiste à déposer sur une machine un pilote signé, parfaitement légitime en apparence, mais qui contient une faille exploitable. L’attaquant n’a pas besoin de développer son propre driver : il réutilise un pilote existant, parfois ancien, dont la signature numérique est encore acceptée par Windows.

A lire en complément : Sécurité informatique : meilleures pratiques pour prévenir le hacktivisme

Trend Micro et Mandiant ont documenté en 2023 et 2024 une hausse marquée de cette technique chez les groupes APT et les opérateurs de ransomware. Le pilote vulnérable ne sert plus uniquement à l’escalade de privilèges. Il sert à désactiver les EDR et les produits de sécurité avant le déploiement du chiffrement.

Un driver numériquement signé s’installe sans déclencher les avertissements habituels. Une fois actif, il neutralise les solutions de sécurité conçues pour détecter les menaces non signées.

A lire également : Impact et risques : mon numéro de téléphone, un atout pour les cybercriminels ?

Ingénieure logiciel inspectant une clé USB suspecte devant un tableau de sécurité réseau en bureau tech

Microsoft Vulnerable Driver Blocklist : fonctionnement et limites concrètes

Depuis fin 2023, Microsoft a durci le blocage des pilotes signés mais abusés. La Microsoft Vulnerable Driver Blocklist est activée par défaut avec HVCI (Memory Integrity) sur Windows 11. Elle empêche le chargement de drivers identifiés comme exploitables, même si leur signature est techniquement valide.

Sur le terrain, on constate que cette liste couvre les pilotes les plus médiatisés, mais elle n’est pas exhaustive. Microsoft la met à jour régulièrement (les changelogs de juillet et novembre 2024 l’attestent), avec un délai variable entre la découverte d’une vulnérabilité et l’ajout effectif du driver à la liste.

Vérifier que HVCI est bien actif

Sur beaucoup de machines d’entreprise déployées avant Windows 11, HVCI n’est pas activé par défaut. Il faut le vérifier manuellement dans les paramètres de sécurité Windows ou via une stratégie de groupe (GPO). Sans HVCI, la blocklist ne s’applique tout simplement pas.

  • Ouvrir Sécurité Windows, puis Sécurité de l’appareil, puis Isolation du noyau : le champ « Intégrité de la mémoire » doit être sur « Activé »
  • En environnement géré, déployer l’activation via GPO ou Microsoft Intune pour couvrir l’ensemble du parc
  • Sur du matériel ancien, certains pilotes légitimes deviennent incompatibles avec HVCI, ce qui pousse parfois les administrateurs au désactiver – exactement ce qu’un attaquant espère

Les retours varient sur ce point : certaines équipes IT signalent des incompatibilités persistantes avec des périphériques industriels ou des imprimantes anciennes, ce qui rend l’activation systématique plus complexe qu’il n’y paraît.

Pilotes kernel-mode : réduire la surface d’attaque au quotidien

Un pilote qui tourne en mode noyau a accès à toute la mémoire du système. Si son code contient un buffer overflow ou une validation d’entrée insuffisante, n’importe quel processus utilisateur peut exploiter cette faille pour exécuter du code avec les privilèges les plus élevés.

Microsoft recommande aux développeurs de déplacer le maximum de logique en mode utilisateur plutôt qu’en mode noyau. Le Windows Driver Framework (WDF) et plus précisément UMDF (User-Mode Driver Framework) permettent d’écrire des drivers qui n’ont pas accès direct au noyau. Pour un périphérique USB ou une imprimante, un driver en mode utilisateur suffit dans la majorité des cas.

Contrôle d’intégrité du code avec WDAC

Windows Defender Application Control (WDAC) permet de définir des règles précises sur les drivers autorisés à se charger. Contrairement à la blocklist qui fonctionne par exclusion, WDAC fonctionne par liste blanche : seuls les pilotes explicitement autorisés peuvent s’exécuter.

Ce niveau de contrôle est particulièrement pertinent dans les environnements sensibles. On définit une politique qui n’autorise que les pilotes signés par des éditeurs de confiance, avec des versions minimales spécifiques. Tout driver non conforme est bloqué au chargement.

Administrateur système vérifiant un rapport d'audit de pilotes dans une allée de datacenter professionnel

Audit des drivers installés : par où commencer

Avant de durcir quoi que ce soit, il faut savoir ce qui tourne sur les machines. Sur un poste Windows, la commande driverquery /v dans une invite de commande liste tous les pilotes chargés, leur type (kernel ou filesystem), leur état et leur date de liaison.

Pour un parc de plusieurs dizaines de postes, on passe par un outil de gestion centralisée. Microsoft Defender for Endpoint remonte les pilotes chargés et signale ceux qui figurent sur la blocklist. Sans outil dédié, un script PowerShell qui collecte la sortie de driverquery sur chaque machine et l’agrège dans un fichier central fait déjà le travail.

Les pilotes tiers à surveiller en priorité

  • Pilotes de virtualisation et d’accès distant : ils opèrent au niveau noyau et sont des cibles fréquentes pour les attaques BYOVD
  • Pilotes de périphériques anciens qui ne reçoivent plus de mises à jour de sécurité de leur éditeur
  • Pilotes de composants graphiques AMD et NVIDIA : AMD a renforcé en 2023-2024 ses mécanismes de protection après plusieurs vulnérabilités permettant des élévations de privilèges via ses drivers Windows
  • Tout pilote installé manuellement (hors Windows Update) dont la signature n’est pas vérifiable

Un driver ancien et oublié sur une machine de production représente exactement le type de porte d’entrée qu’exploitent les opérateurs de ransomware. Supprimer les pilotes inutilisés réduit mécaniquement la surface d’attaque, sans coût et sans effet de bord. C’est souvent la mesure la plus efficace, et celle qu’on repousse le plus longtemps.

A voir sans faute

Recherche

Au coeur de l'actu

Web

Suppression d’un compte Microsoft sur ordinateur : les étapes simples

Supprimer un compte Microsoft sur un ordinateur peut sembler compliqué, mais avec

Web

Les 3 éléments clés des objets connectés et leur fonctionnement

Les objets connectés transforment notre quotidien en intégrant la technologie dans nos

En vogue

Lost your password?