Defendnot : ce faux antivirus peut désactiver Microsoft Defender comme si de rien n’était

Microsoft Defender peut-il être désactivé sans même qu’un logiciel malveillant ne lève le petit doigt ? Oui. Il suffit de jouer avec les règles du système.

Tout a commencé par un vieux projet abandonné. En 2024, le chercheur es3n1n publiait no-defender, un outil capable de désactiver Microsoft Defender en s’appuyant sur l’API du Windows Security Center (WSC), utilisée normalement par les antivirus légitimes pour signaler leur présence à Windows. Objectif : faire croire au système qu’il était déjà protégé, et pousser Defender à s’auto-désactiver. Sauf qu’à l’époque, le chercheur s’était appuyé sur le code d’un antivirus tiers, ce qui lui avait valu un retrait express de GitHub après une plainte DMCA. Fin de l’histoire ? Pas tout à fait.

Un outil qui respecte les règles pour mieux les détourner

En 2025, même idée, mais cette fois, sans réutiliser la moindre ligne de code externe. Defendnot est entièrement réécrit à partir de zéro pour prouver qu’il est possible de désactiver Microsoft Defender sans jamais enfreindre les règles du système.

Petit rappel au passage : Windows ne tolère pas la coexistence de plusieurs antivirus actifs. Dès qu’un antivirus tiers est détecté via l’API du Windows Security Center (WSC), Defender passe en retrait pour éviter les conflits. Et comme cette désactivation repose sur du déclaratif, un antivirus fictif qui respecte les critères de validation – nom, signature, comportement – peut aisément berner le système.

Or, c’est exactement ce que fait Defendnot. L’outil injecte une fausse DLL d’antivirus dans un processus système signé – en l’occurrence Taskmgr.exe –, puis se fait enregistrer auprès de WSC comme une solution valide en contournant les vérifications d’intégrité et de légitimité imposées par le système.

Dans l’équation, Windows n’y voit que du feu et désactive aussitôt Microsoft Defender sans générer d’alerte, convaincu que la machine est déjà protégée. Et comme Defendnot prévoit une tâche planifiée pour se relancer à chaque démarrage, l’effet peut durer indéfiniment.

Derrière un projet de recherche, des abus potentiels

Qu’on se rassure, Microsoft a depuis ajouté une détection spécifique pour ce faux antivirus distribué sur GitHub (Win32/Sabsik.FL.!ml), mais le problème dépasse ce cas particulier. Il ne s’agit pas ici d’un bug ou d’une vulnérabilité dans Defender, mais d’une faiblesse de conception dans la manière dont Windows délègue la gestion de sa sécurité. Le système part du principe que si un antivirus est enregistré, il est fiable. Et ce postulat suffit, en soi, à désactiver la seule protection native en place.

Car si es3n1n parle d’un projet de recherche, le potentiel d’abus est bien réel. Un outil comme Defendnot pourrait aussi bien servir de base à des tests de sécurité Red Team qu’inspirer des attaques ciblées cherchant à infiltrer un système en neutralisant son dispositif de défense… sans avoir à le contourner activement.

Comment vérifier si Microsoft Defender est bien actif

Si vous avez un doute sur l’état de votre antivirus, ou si vous craignez qu’un outil comme Defendnot ait pu être utilisé sur votre machine, voici comment vérifier que Microsoft Defender est bien actif :

Ouvrez les Paramètres > Confidentialité et sécurité > Sécurité Windows.

Rendez-vous dans Protection contre les virus et menaces.

Dans la section Qui me protège ?, cliquez sur Gérer les fournisseurs, et contrôlez que Microsoft Defender est bien configuré comme antivirus par défaut.

Si vous constatez qu'un autre antivirus est référencé alors que vous n’en avez pas installé, désinstallez-le immédiatement s’il apparaît dans la liste des applications, lancez une analyse complète avec un antivirus de confiance ou réactivez manuellement Microsoft Defender.

Sources : es3n1n, Bleeping Computer