Rapport : Microsoft a échoué pendant des années à protéger les ordinateurs Windows

Un nouveau rapport d'Ars Technica indique que Microsoft n'a pas réussi à protéger les PC Windows contre les lecteurs malveillants pendant près de trois ans.

Bien que la société affirme que ses mises à jour Windows régulières empêchent le téléchargement de lecteurs malveillants sur le système, Ars Technica a constaté que ces mises à jour ne le faisaient pas aussi bien qu'elles le devraient.

En raison de cette incapacité à empêcher les lecteurs malveillants d'accéder aux PC Windows, les utilisateurs sont vulnérables à un type d'attaque spécifique appelé BYOVD, qui signifie Bring Your Own Vulnerable Drive.

On appelle lecteurs les fichiers que les systèmes d'exploitation des ordinateurs personnels utilisent pour communiquer avec le matériel, qu'il soit externe ou interne, comme les imprimantes, les cartes graphiques, les webcams, etc.

Et parce que les disques nécessitent la possibilité d'accéder au noyau du système d'exploitation de l'appareil, Microsoft exige également avant d'autoriser cela, l'approbation de tous les disques, afin de garantir leur sécurité d'utilisation.

Mais s'il existe un lecteur approuvé et qu'il contient une faille de sécurité, les pirates peuvent l'exploiter et accéder au noyau Windows.

En août dernier, des pirates ont installé le rançongiciel BlackByte sur un disque dur utilisé pour overclocker le logiciel MSI AfterBurner pour les cartes graphiques MSI.

Le groupe de piratage nord-coréen Lazarus a également lancé une attaque BYOVD contre un employé néerlandais de l'industrie spatiale et un journaliste politique en Belgique en 2021, mais l'affaire n'a été révélée qu'à la fin du mois dernier par la société de sécurité de l'information ESET.

Microsoft confirme la protection des ordinateurs Windows

Selon le rapport Ars Technica, Microsoft utilise une fonctionnalité spéciale appelée HVCI, qui signifie Hypervisor-Protected Code Integrity, pour protéger les appareils contre les lecteurs malveillants. Il indique que cette fonctionnalité est activée par défaut sur certains appareils Windows.

Mais Ars Technica et Will Dorman, un analyste principal de la sécurité de la société de sécurité de l'information Analygence, ont confirmé que cette fonctionnalité n'offre pas une protection suffisante contre les lecteurs malveillants.

En septembre, Dorman a tweeté comment il avait réussi à télécharger un lecteur malveillant sur une machine avec HVCI activé, même si le lecteur malveillant figurait sur la liste noire de Microsoft. Ensuite, il a été découvert plus tard que la liste noire de Microsoft n'avait pas été mise à jour depuis 2019.

Microsoft n'a pas répondu à ce que Dorman a dit jusqu'au début du mois, et a déclaré qu'il avait résolu le problème, et a également publié des instructions sur la façon de mettre à jour la liste noire manuellement.