Parce qu’ils fonctionnent au cœur du système, les pilotes vulnérables représentent une cible privilégiée pour contourner les défenses de Windows. Face à cette réalité, le système s’appuie sur une liste interne destinée à en bloquer certains.

Sécurité Windows, comment le système tente de limiter les dégâts liés aux pilotes vulnérables. © deepadesigns / Shutterstock
Sécurité Windows, comment le système tente de limiter les dégâts liés aux pilotes vulnérables. © deepadesigns / Shutterstock

Vous n’êtes pas sans savoir que les pilotes matériels occupent une place particulière dans l’architecture de Windows. Ils assurent en effet la liaison entre le système et les composants physiques de la machine, que l’on parle de carte graphique, de webcam, d’imprimante ou de contrôleur réseau. Parce qu’ils fonctionnent au plus près du noyau, ces pilotes disposent logiquement de droits étendus. Si bien que lorsqu’une faille les affecte, elle peut être exploitée pour contourner certaines protections du système, désactiver des outils de sécurité ou obtenir des privilèges élevés.

Ces dernières années, plusieurs acteurs malveillants ont justement tiré parti de drivers légitimes mais vulnérables pour parvenir à leurs fins, technique communément appelée Bring Your Own Vulnerable Driver (BYOVD). Pour répondre à ce risque, Microsoft a intégré à Windows un élément destiné à empêcher le chargement de certains pilotes identifiés comme possiblement dangereux.

Une liste de blocage pour freiner les abus de pilotes vulnérables

Baptisée Microsoft Vulnerable Driver Blocklist, cette liste de blocage est intégrée à Windows, activée par défaut sur Windows 11 depuis l’édition 22H2, et appliquée sur Windows 10 dans certains contextes de sécurité (intégrité de la mémoire HVCI, Smart App Control ou mode S). Elle s’inscrit plus généralement dans les protections de l’OS liées à l’isolation du noyau, que Microsoft présente dans les options de sécurité dites Core Isolation, lesquelles s’appuient sur la virtualisation pour isoler en mémoire certaines fonctions sensibles et limiter l’impact d’un code malveillant exécuté avec des privilèges élevés.

Concrètement, Microsoft tient à jour un ensemble de règles de blocage visant des pilotes (et, dans certains cas, des certificats ou signatures associées) identifiés comme vulnérables ou déjà exploités dans des attaques. À chaque tentative de chargement d’un pilote par Windows, par exemple au démarrage de l’OS ou lors de l’installation d’un nouveau périphérique, le système vérifie s’il figure dans cette liste. Le cas échéant, son chargement est bloqué avant qu’il ne puisse s’exécuter.

Cet inventaire évolue en continu, alimenté en coopération avec les fabricants de matériel et les OEM, ce qui permet à Microsoft de travailler main dans la main avec les fournisseurs pour corriger au plus vite les pilotes concernés en cas de faille avérée. Quoi qu’il en soit, si le niveau de menace est jugé élevé et que le blocage du pilote ne risque pas d’entraîner de dysfonctionnements majeurs pour les utilisateurs et utilisatrices, la version vulnérable peut être ajoutée à la blocklist, décision qui relève en dernier ressort de Redmond.

Windows empêche de désactiver la liste de blocage des pilotes vulnérables lorsque l’intégrité de la mémoire (HVCI), Smart App Control ou le mode S sont activés. © Clubic
Windows empêche de désactiver la liste de blocage des pilotes vulnérables lorsque l’intégrité de la mémoire (HVCI), Smart App Control ou le mode S sont activés. © Clubic

Une protection utile, mais pas exhaustive

Pour autant, la liste de blocage des pilotes vulnérables ne doit pas être perçue comme un filet de sécurité absolu. Microsoft doit composer avec un équilibre délicat entre sécurité et stabilité, sachant qu’interdire systématiquement des drivers présentant une faiblesse théorique peut entraîner des incompatibilités matérielles, voire des plantages du système.

La liste n’est donc pas exhaustive et privilégie un blocage ciblé des cas jugés les plus à risque plutôt qu’une validation individuelle de chaque pilote autorisé. En contrepartie, ce modèle suppose que certaines vulnérabilités puissent subsister tant qu’elles ne sont pas formellement intégrées à la blocklist.

Autre limite, cette dernière n’est pas forcément mise à jour en temps réel, mais actualisée via Windows Update, avec des mises à jour qui peuvent arriver dans le cadre du cycle de maintenance de Windows, de mises à jour optionnelles, ou des évolutions de version du système. Dans les environnements les plus verrouillés, des politiques de contrôle applicatif plus strictes (par exemple via App Control / WDAC) peuvent appliquer des règles plus à jour ou plus restrictives. Il peut donc exister un décalage entre l’identification d’un pilote problématique, sa prise en compte par Microsoft et son blocage effectif sur un poste donné, d’où l’importance de télécharger ses updates système en temps et en heure.

Enfin, cette liste noire gagne à être présentée comme un outil parmi d’autres. Elle complète les protections de Windows, mais ne dispense ni de maintenir les pilotes et le système à jour, ni de limiter les privilèges d’administration, ni d’appliquer des politiques de contrôle plus strictes sur les postes sensibles.

Windows 11
  • Refonte graphique de l'interface réussie
  • Snap amélioré
  • Groupes d'ancrage efficaces
8 / 10
Télécharger
Lire le test
Foire aux questionsContenu généré par l’IA
Qu’est-ce qu’une attaque BYOVD (Bring Your Own Vulnerable Driver) et pourquoi est-ce efficace sur Windows ?

BYOVD consiste à faire charger sur une machine un pilote parfaitement légitime, mais connu pour être vulnérable, afin d’exploiter ses failles. Comme un pilote s’exécute au plus près du noyau (kernel), il peut offrir des privilèges très élevés, parfois suffisants pour désactiver des protections ou manipuler la mémoire système. L’attaquant n’a pas besoin d’inventer un malware « miracle » — il détourne un composant signé et prévu pour Windows. C’est justement cette combinaison (composant authentique + vulnérabilité exploitable) qui rend la détection et le blocage plus complexes qu’avec un exécutable malveillant classique.

À quoi sert la Microsoft Vulnerable Driver Blocklist et comment Windows l’applique-t-il ?

La Microsoft Vulnerable Driver Blocklist est un ensemble de règles que Windows utilise pour empêcher le chargement de pilotes identifiés comme vulnérables, malveillants ou déjà exploités. Lorsqu’un pilote tente de se charger, au démarrage ou lors de l’ajout d’un périphérique, Windows compare ce pilote à la liste et peut refuser son chargement avant qu’il n’agisse. Le blocage peut viser le pilote lui-même et parfois des éléments liés à sa signature ou à son certificat. L’objectif est de couper court aux abus les plus critiques sans devoir « auditer » individuellement tous les pilotes existants.

Que changent HVCI, l’intégrité de la mémoire et la “Core Isolation” dans la protection contre les pilotes malveillants ?

HVCI (Hypervisor-Protected Code Integrity) s’appuie sur la virtualisation pour isoler certaines fonctions de sécurité et renforcer les contrôles d’intégrité du code, notamment dans le noyau. Concrètement, l’« intégrité de la mémoire » vise à renforcer les contrôles sur le code exécuté dans des zones sensibles et à compliquer l’exploitation de privilèges élevés. Ces mécanismes, regroupés côté interface sous « Core Isolation », réduisent l’impact d’une compromission en limitant ce que peut faire un code au niveau système. La blocklist des pilotes vulnérables s’insère dans cette logique, mais ne remplace pas des politiques plus strictes comme WDAC / App Control dans les environnements les plus verrouillés.