Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant

Fanny Dufour
22 octobre 2021 à 17h22
9
© JPstock / Shutterstock.com
© JPstock / Shutterstock.com

Un driver, signé électroniquement par Microsoft, s'est révélé être un rootkit, tel que l'ont découvert les chercheurs de Bitdefender.

C'est la deuxième fois en quelques mois qu'un driver signé par les services de validation de Microsoft est en réalité un logiciel malveillant.

Un rootkit qui redirige le trafic internet

Pour la deuxième fois en quelques mois, un driver possédant une signature WHQL, certifiant normalement qu'il a été vérifié par Microsoft, était en vérité un rootkit. C'est ce qu'ont découvert les chercheurs de Bitdefender en se penchant sur FiveSys. Comme pour Netfilter avant lui, les créateurs du rootkit ont réussi contourner le système et à obtenir une certification de la part de l'entreprise, leur permettant de gagner la confiance des utilisateurs et d'avoir accès à des fonctionnalités sur le système d'exploitation qui leur sont normalement interdites.

Une fois sur la machine de sa victime, le rootkit redirige le trafic internet de la machine infectée à travers un proxy personnalisé, choisi parmi une liste de 300 domaines. Il installe un certificat racine personnalisé pour faire fonctionner la redirection HTTPS, afin d'éviter que le navigateur prévienne l'utilisateur que l'identité du serveur proxy est inconnue. Il se protège en empêchant les modifications du registre et empêche également l'installation de rootkits et de malwares provenant d'autres groupes.

Un rootkit concentré sur la Chine

D'après Bitdefender, FiveSys serait en activité depuis plus d'un an. Il ne se serait pas propagé en dehors de la Chine pour le moment, ses créateurs semblant particulièrement intéressés par ce marché. Les chercheurs pensent qu'il vise particulièrement les jeux en ligne, dans le but de voler des identifiants et détourner les achats faits en jeu.

Les chercheurs ont prévenu Microsoft de leurs trouvailles et l'entreprise a révoqué la signature accordée au faux driver. Bitdefender ne nomme pas précisément un groupe de hackers comme étant à l'origine de ces attaques.

Sur le même sujet :
Microsoft admet avoir signé un driver qui était en réalité un rootkit

Sources : Neowin, Bitdefender

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (9)

Yves64250
Le pilote rootkité c’est un pilote générique d’imprimante?
mamide
pauvre Microsoft elle enchaîne les problèmes !
Kriz4liD
Hmm, MS qui certifie un rootkit uqi ne sévit qu’en Chine… Hmmmm<br /> Si par exemple c’était Huawei ou ZTE, tout le monde aurait crié au scandale, on aura 100 articles sur une un possible espionnage de la part des chinois, mais non, c’est MS ? Pas grave, elle révoque le certificat et on plie bagage.
benben99
Un rookit qui vise a attaquer des Chinois et qui a été certifié par Microsoft… Ca peut venir de quel pays pensez vous?
bmustang
on peut penser ce qu’on veut, l’essentiel est qu’il a été débusqué et mis au placard.
Cynian90
La dernière fois j’ai un pote Américain qui a fait tomber sa fourchette au sol dans un restaurant Chinois, clairement une tentative de coup d’état et d’ingérence.
xylf
Heureusement grâce au tpm2 pour votre sécurité… Ah bah non en fait ms certifie les malwares
juju251
C’est vraiment au point leur système de signature, tiens …<br /> Au fait secure boot / TPM, c’est basé sur quoi ?<br /> Ah, un système de signature pour ne pouvoir démarrer que des OS «&nbsp;certifiés sûrs&nbsp;», ah, oui, …
cyrano66
C’est bien pour cette raison que dans un Chinois il vaut mieux manger avec des baguettes.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Daxin : le malware chinois qui espionne les gouvernements depuis près de 10 ans Daxin : le malware chinois qui espionne les gouvernements depuis près de 10 ans
Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros
Un groupe de hackers vole les crypto-monnaies de start-up et petites entreprises Un groupe de hackers vole les crypto-monnaies de start-up et petites entreprises
Le malware Emotet fait son grand retour Le malware Emotet fait son grand retour
Nouveau coup dur pour Microsoft Exchange, après la découverte d'une extension qui vole des identifiants Nouveau coup dur pour Microsoft Exchange, après la découverte d'une extension qui vole des identifiants