Dotés d’importants privilèges d’accès, les pilotes informatiques ne sont malheureusement pas toujours d’une grande qualité. Ils constituent donc un sérieux talon d’Achille pour les systèmes Windows.
Pour interagir avec les composants matériels auxquels il a accès, le système d’exploitation Windows s’appuie sur une armée de petits logiciels forts pratiques : les drivers ou pilotes informatiques. Malheureusement, ces programmes peuvent également introduire de sérieuses failles de sécurité, comme viennent de le montrer des chercheurs en sécurité de la société Eclypsium, à l’occasion de la conférence DEF CON, qui vient de se dérouler à Las Vegas.
Les experts se sont intéressés à ce sujet à la suite de récentes attaques telles que LoJax ou Slingshot APT, où les pirates s’appuyaient de façon astucieuse sur des drivers. Ce n’est pas très étonnant, car un driver a souvent des privilèges d’accès intéressants. Par nature, ils ont accès à certaines zones mémoire particulièrement protégées du système d’exploitation, comme ceux du noyau. Certains permettent même d’accéder et modifier des firmwares, y compris celui du BIOS. Du pain béni pour un pirate qui cherche à élever ses privilèges d’accès sur un système qu’il vient de pénétrer, et qui souhaite y installer de manière durable une porte dérobée.
Des fournisseurs reconnus et certifiés par Microsoft
Or, il y a malheureusement beaucoup de drivers qui présentent des failles de sécurité et qui peuvent donc être détournés à des fins malveillants. En l’espace de deux semaines, les chercheurs d’Eclypsium en ont déniché plus d’une quarantaine. Et à l’heure actuelle, ils continuent toujours d’en trouver. Il suffit de se baisser pour en ramasser. Pourtant, tous ces drivers proviennent de fournisseurs reconnus et certifiés par Microsoft. Parmi eux figurent de grands noms tels que Intel, Gigabyte, SuperMicro, Nvidia, Phoenix, Huawei, Toshiba, Asustek, MSI, Realtek, etc.
Se prémunir contre ce danger potentiel n’est pas simple, car « il n’existe pas de mécanisme universel pour éviter le chargement de ces drivers vulnérables sur une machine Windows », soulignent les chercheurs dans une note de blog. Les versions professionnelles de Windows permettent, dans certains cas, de protéger les utilisateurs par le biais des fonctions de gestion centralisée (group policies). Mais c’est forcément laborieux.
Des patchs sont disponibles
La balle est donc dans le camp de Microsoft et de ses partenaires. Charge à eux de corriger rapidement les failles trouvées et, surtout, d’améliorer à l’avenir la qualité de leurs pilotes. Intel et Huawei ont d’ores et déjà diffusé des patchs pour les drivers épinglés. Chez Phoenix et Insyde, la création d’un correctif est en cours. Mais tous ne sont pas aussi réactifs. MSI et Toshiba, par exemple, n’ont donné aucun signe de vie après avoir été alertés par Eclypsium. Dommage. Les chercheurs devraient publier prochainement sur GitHub des outils et des vidéos relatifs à leur analyse.