Microsoft admet avoir signé un driver qui était en réalité un rootkit

Fanny Dufour
28 juin 2021 à 17h20
25
© Clubic
© Clubic

Un analyste de G Data a découvert qu'un driver, nommé « Netfilter », était en réalité un rootkit.

Ce driver avait été validé par Microsoft et semblait être un faux positif avant que des recherches concluent qu'il s'agissait d'un malware.

Lire aussi :
Un malware caché dans des jeux piratés désactive les antivirus et mine de la cryptomonnaie

Un driver malveillant signé par Microsoft

Depuis Windows Vista, chaque driver doit passer par un processus de vérification de la part de Microsoft pour pouvoir être installé sur un PC. À la suite de celui-ci, l'entreprise le « signe », pour valider sa conformité. Cependant, il semblerait que dans le cas de Netfilter, tout ne se soit pas passé comme prévu.

Le driver semblait légitime à première vue, d'autant plus qu'il avait été signé par Microsoft, mais son comportement a fini par attirer l'attention de Karsten Hahn qui a été rejoint par d'autres spécialistes. Ils ont conclu q'il s'agissait d'un malware en le voyant communiquer avec des serveurs de commande et contrôle en Chine, sans pour autant fournir aucune fonctionnalité légitime.

Lire aussi :
Windows 11 : réservez votre 20 octobre à 11h11... si Microsoft s'en tient aux indices qu'il dissémine

Le domaine du gaming visé par le malware

Microsoft a indiqué avoir été prévenue du problème. L'entreprise a déclaré ne pas avoir constaté que son infrastructure avait été compromise, ce qui signifie que les créateurs du driver malveillant sont passés par les canaux officiels et ont réussi à obtenir une certification de façon légitime.

Elle a ajouté que le virus ne représentait pas une grande menace, visant en particulier le secteur du gaming en Chine sans s'occuper des entreprises. « L'objectif de l'acteur est d'utiliser le driver pour falsifier sa géolocalisation afin de tromper le système et de jouer de n'importe où. Le logiciel malveillant lui permet de prendre l'avantage dans les jeux et éventuellement d'exploiter d'autres joueurs en compromettant leurs comptes à l'aide d'outils courants comme les keyloggers », indique Microsoft dans son article de blog.

Cependant, il demeure la question de savoir comment une tierce partie malveillante a réussi à obtenir une signature légitime sur un driver. La firme de Redmond ne s'est pas plus épanchée sur le sujet, mais a indiqué mettre en place de nouveaux processus concernant la validation et la signature.

Sources : BleepingComputer, Microsoft

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (25)

SPH
C’est grave. Et ça fait tâche pour Microsoft…
kamellion
ce n’est pas moi qui va les croire sur parole,en sachant ce qu’il ont fait par le passé :<br /> politique hostile envers les communautés des logiciels libres/opensource<br /> collaboration avec la NSA sur la surveillance d’Internet<br /> collaboration avec le régime de Ben Ali<br /> censure en Chine<br /> liste noire de journalistes<br /> blocage de courriels
paulposition
Un seul mot: Bravo! Pour une firme qui se targue de vouloir tout sécuriser, c’est une réussite
benben99
Probablement que Crosoft a signé le driver à la demande du gouvernement américain pour espionner.
Krypton_80
Pas forcément à la demande du gouvernement américain, mais contre quelques billets verts, très certainement.
bmustang
c’est impardonnable comme erreur pour un groupe comme microsoft !? Et ça vient dire qu’il n’y avait pas de risque ? Mais de qui microsoft se moque t’il à dire des âneries pareilles ?
bmustang
Quand on voit que microsoft n’est pas foutu d’appliquer un process validé, pas étonnant qu’il y ait autant de failles corrigés dans windows et le reste des outils microsoft ! Étonnant ces tocards !
caprikorn
Chez Microsoft la signature est accordée comment ? ils scannent le driver, comme nous on peut scanner un fichier, pour détecter si il est sans risque c’est ça ?
mcbenny
Oui, c’est une erreur qui ne devrait pas se produire mais crier à l’incompétence systématique me semble un peu rapide, surtout de la part de gens aussi qualifiés que les lecteur/commenteurs de Clubic.<br /> Combien de drivers signés par jour depuis des décennies ? Combien d’erreurs ?<br /> Et je ne porte pas spécialement MS dans mon coeur, j’apprécie juste l’impartialité.
benben99
mcbenny:<br /> gens aussi qualifiés que les lecteur/commenteurs de Clubic.<br /> Ah oui, parce que tu penses qu’ils n’y a pas de pro de l’informatique et de la sécurité parmi les lecteurs de Clubic?
Voigt-Kampf
La France n’aurait pas récemment permis de gérer les données santé à Crosoft ?
ares-team
Il y a que moi qui fait le rapprochement entre ce malware qui vise le Domaine du Gaming, et la sortie du Windows 11 concu pour le Gaming d’après Microsoft ?
Krypton_80
clockover:<br /> il faut déjà juste prendre en compte le plus probable la « bêtise ».<br /> C’est sûr que ça fait tout de suite davantage pro de la sécurité en informatique comme commentaire. On pourrait aussi bien dire «&nbsp;l’ignorance&nbsp;» ou «&nbsp;l’incompétence&nbsp;» à ce moment là. Mais chez Microsoft, c’est peu probable.
Krypton_80
clockover:<br /> Des éléments tellement plus probable qu’une malveillance…<br /> clockover:<br /> ça fait bien sans même avoir l’histoire en main<br /> Tout est dit !
Krypton_80
clockover:<br /> Je rappelle juste qu’il y a d’autres choses plus probable que la malveillance contrairement à vos dire qui sont dans la certitude de la malveillance.<br /> Exact sauf que spéculer avec des choses supposées être plus probables que de la malveillance, contre de la malveillance qui est très fréquente dans le monde de l’informatique où toutes les opportunités sont bonnes à saisir, c’est juste une question de bon sens, même si «&nbsp;certitude&nbsp;» est un peu exagéré je l’admets.
mcbenny
Il y en a certainement, et j’espère en faire partie dans mon domaine. Mais justement, à voir le nombre régulièrement important de commentaires péremptoires, dédaigneux, supérieurs etc., je me permettais de lancer une pique.<br /> Une fâcheuse habitude de ma part, j’en conviens.
jardinero
Une erreur est toujours possible<br /> Microsoft ne fait pas toujours ce qu’il veut
Krypton_80
clockover:<br /> Donc vous affirmez que la malveillance plus présente que la bêtise dans le monde de l’informatique ?<br /> En même temps, la malveillance n’est-elle pas une forme de bêtise ?<br /> Tout dépend de quelle sorte de «&nbsp;bêtise&nbsp;» on parle, car c’est un terme assez vague. Je ne dis pas que c’est à l’origine de la direction de l’entreprise, mais si c’est une erreur involontaire, pas sûr que ce soit plus rassurant pour les clients de Microsoft, car il y en aura probablement d’autres, pas toujours détectées.<br /> Il se trouve que j’utilise G Data comme antivirus, peut-être est-ce pour cette raison que le terme «&nbsp;bêtise&nbsp;» me laisse un peu dubitatif. Mais au bénéfice du doute, on va dire que c’est ça, histoire de ne pas paraître trop «&nbsp;supérieur&nbsp;» !
Axel-Swailli
C’est marrant mais dès que Microsoft valide un malware par inadvertance ou que Google valide une apps vérolée il y a une foultitude de personne qui crie au scandale.<br /> Que celui qui n’a jamais commis d’erreur me jette le premier virus <br /> En attendant il faut voir, pour juger de l’incompétance d’une firme ou pas, le nombre incalculable de drivers, logiciels, applis, etc à vérifier et valider et sur le nombre quand 1 passe au travers c’est une infamie il faut peut être un peu relativiser dans cette position je crois bien que Google est bien plus «&nbsp;passoire&nbsp;» que Microsoft ?<br /> Toujours à casser du sucre sur le dos de Microsoft mais qui détient la plus grande part de marché sur les différents supports d’OS ? De part cette position dominante normale qu’ils soient en priorité visés et en rapport aux tentatives d’attaques sur Microsoft on peut dire qu’ils s’en sortent très bien
Krypton_80
Axel-Swailli:<br /> je crois bien que Google est bien plus « passoire » que Microsoft ?<br /> Ah bon? «&nbsp;En 2017, l’équipe Project Zero de Google a découvert de graves failles de sécurité causées par l’exécution spéculative, une technique utilisée par la plupart des processeurs (CPU) modernes pour optimiser les performances. Des chercheurs indépendants ont découvert et nommé séparément ces vulnérabilités Spectre et Meltdown.&nbsp;»
Axel-Swailli
Ah oui ! Et combien d’applis mises en ligne sur le google-play qui étaient vérolées ? Il y a eu un sacré ménage de fait quand Google s’est apperçu qu’un nombre important d’applis avaient été validé et mise sur le Google-Play alors qu’elles étaient vérolées donc ce n’est pas l’apanage de Microsoft de faire des erreurs surtout que de mémoire ça doit être que la seconde fois que MS valide un drivers ou un logiciel contenant un malware donc insignifiant par rapport à Google et ses milliers d’applis vérolées
Krypton_80
Axel-Swailli:<br /> donc insignifiant par rapport à Google et ses milliers d’applis vérolées<br /> Ah oui, on se demande bien pourquoi il y a régulièrement des MàJ de sécurité pour Windows alors. De toutes façons ce n’est pas moi qui a dit que Microsoft a fait une bêtise hein ! Mais c’est sûr qu’ils en font au moins autant que Google. C’est juste une question de transparence avec les utilisateurs.
Axel-Swailli
Les MàJ Windows n’ont rien à voir avec des drivers ou logiciels validés avec un malware mais à des failles dans les codes de programmation qui permettraient à des personnes malveillantes d’intervenir sur les machines, il y a une différence entre créer une ligne de code pouvant être détournée et la validation d’un outils tierce contenant un rootkit ou malware (le deuxième cas étant très rare de la part de Microsoft) Dans la grande majorité des cas les malwares se retrouvent dans des addons de logiciels qui utilisent Windows (extensions de navigateur entre autres) et non de Windows lui même ou dans des drivers (non officiels et non WSQL) téléchargés à droite ou à gauche
Krypton_80
Axel-Swailli:<br /> Dans la grande majorité des cas les malwares se retrouvent dans des addons de logiciels qui utilisent Windows (extensions de navigateur entre autres) et non de Windows lui même ou dans des drivers (non officiels et non WSQL) téléchargés à droite ou à gauche<br /> C’est exactement la même chose pour Google, notamment avec Chrome et les extensions du navigateur. Il n’y a pas 2 poids 2 mesures selon qu’il s’agisse de Microsoft ou de Google.
Axel-Swailli
Encore une preuve (s’il en fallait) que le google play store et son OS Android et une grande passoire à malware en comparaison de Microsoft et son OS Windows (qui ne valide pas tout sans même se soucier de la sécurité)<br /> Clubic.com – 5 Jul 21<br /> Attention à ces 9 applications Android qui siphonnent les mots de passe Facebook<br /> Dr. Web met en garde les utilisateurs Android face à une dizaine d'applications.<br />
Krypton_80
Axel-Swailli:<br /> Encore une preuve (s’il en fallait) que le google play store et son OS Android et une grande passoire à malware<br /> C’est surtout qu’il faut lire un article en entier avant de s’en servir comme source : «&nbsp;toutes disponibles via Google Play avant d’être retirées par Google.&nbsp;», d’autre part cela n’a aucun lien avec le codage de l’OS Android par Google. Tu mélanges un peu tout j’ai l’impression.<br /> J’ajoute que cela ne concerne que les utilisateurs de FB hein, donc on s’en tape à la limite.<br /> Aurais-tu oublié que Google signale aussi des failles à Microsoft depuis des années? …<br /> Clubic.com – 20 Feb 18<br /> Google rend publique une nouvelle vulnérabilité de Microsoft Edge<br /> Camouflet pour Microsoft : Project Zero, l'équipe d'experts en sécurité informatique de Google, a mis au jour une nouvelle faille dans le code source du navigateur web de Windows 10. Google assure n'avoir eu d'autre choix que de la révéler...<br /> Encore une preuve (s’il en fallait) que Microsoft n’est pas tellement meilleur que Google dans ce domaine.
juju251
Krypton_80:<br /> Aurais-tu oublié que Google signale aussi des failles à Microsoft depuis des années? …<br /> Google rend publique une nouvelle vulnérabilité de Microsoft Edge<br /> Encore une preuve (s’il en fallait) que Microsoft n’est pas tellement meilleur que Google dans ce domaine.<br /> Ouais, enfin, ils les signalent à Microsoft, mais surtout les rendent publiques parfois avant que la correction ne soit effectuée (c’est d’ailleurs le cas pour la faille citée dans l’article que tu linkes ) …
Krypton_80
juju251:<br /> mais surtout les rendent publiques parfois avant que la correction ne soit effectuée (c’est d’ailleurs le cas pour la faille citée dans l’article que tu linkes )<br /> En effet, et l’article explique bien pourquoi: «&nbsp;Google lui a laissé 90 jours pour rectifier le tir. Mais comme Microsoft n’a toujours pas publié de correctif, Google s’est senti le droit de rendre sa découverte publique.&nbsp;»
juju251
Tu parles, pour moi c’est juste irresponsable de balancer ça publiquement, tant que ce n’est pas corrigé.<br /> Alors, oui, cela met la pression sur Microsoft, mais d’un autre côté, c’est le risque de voir la faille en question exploitée.
paulposition
juju251:<br /> Tu parles, pour moi c’est juste irresponsable de balancer ça publiquement, tant que ce n’est pas corrigé.<br /> Alors, oui, cela met la pression sur Microsoft, mais d’un autre côté, c’est le risque de voir la faille en question exploitée.<br /> +1000
Krypton_80
Venant du même article que j’ai cité: «&nbsp;D’autant qu’à l’origine, Google a décidé de lancer Project Zero précisément à cause de failles de sécurité dans l’ancêtre d’Edge, Internet Explorer 6. C’était en 2009, une opération baptisée Aurora, menée par une équipe chinoise liée au gouvernement de Pékin ; les hackers avaient pillé les serveurs de Google en exploitant une faille du navigateur de Microsoft…&nbsp;»<br /> Le risque de voir une faille exploitée est inéluctable, pas besoin de la balancer publiquement quand on la cherche vraiment. Mais forcément, comme ça vient de Google, on tape dessus, on a l’habitude.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Daxin : le malware chinois qui espionne les gouvernements depuis près de 10 ans Daxin : le malware chinois qui espionne les gouvernements depuis près de 10 ans
ESET et Microsoft à la rescousse de l'Ukraine contre les hackers russes ESET et Microsoft à la rescousse de l'Ukraine contre les hackers russes
Microsoft annonce avoir désarmé un malware ciblant l'Ukraine en seulement 3 heures Microsoft annonce avoir désarmé un malware ciblant l'Ukraine en seulement 3 heures
200 applications du Google Play Store facturent des services payants sans votre consentement 200 applications du Google Play Store facturent des services payants sans votre consentement
Nouveau coup dur pour Microsoft Exchange, après la découverte d'une extension qui vole des identifiants Nouveau coup dur pour Microsoft Exchange, après la découverte d'une extension qui vole des identifiants