En apposant sa signature numérique, Microsoft a permis la diffusion du pilote Netfilter, qui se trouve en fait être un malware. L’éditeur a rapidement réagi en bloquant le pilote et en suspendant le compte du vendeur, qui l’avais soumis via le programme de compatibilité matérielle pour Windows (WHCP). Malheureusement, le mal a été fait.
Une signature malheureuse
La portée de cette attaque, qui ne proviendrait pas d’un acteur étatique, est cependant assez limitée. Netfilter ne s’est pas a priori intéressé aux réseaux d’entreprises, mais au secteur du jeu vidéo en Chine. Microsoft explique que l’objectif du hacker était d’exploiter le pilote pour « usurper une géolocalisation pour tromper le système touché et jouer de n’importe où ».
Le malware donnait au pirate un avantage dans les jeux. Il pouvait aussi lui permettre de pénétrer par effraction dans les comptes des joueurs grâce à un keylogger, un outil qui enregistre les frappes sur le clavier. Netfilter installait une configuration proxy et communiquait avec des serveurs basés en Chine. Grâce à la signature de Microsoft, des utilisateurs ont pu se laisser berner : cette signature est normalement un gage de sécurité.
L’équipe de sécurité de Microsoft continue de travailler avec les constructeurs tiers et les éditeurs de pilotes pour analyser et apporter des correctifs aux vulnérabilités qui ont permis à Netfilter de se propager. Une fois le patch publié, une mise à jour pour tous les PC affectés sera rendue disponible via la plateforme Windows Update.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
