Une attaque utilisant un pilote Windows obsolète pour désactiver les EDR

Paradmin9149 février 25, 2026février 26, 2026

Une récente intrusion sophistiquée a mis en évidence une nouvelle méthode utilisée par des cybercriminels pour neutraliser les protections de sécurité des postes de travail : des attaquants ont exploité un pilote Windows obsolète pour désactiver les solutions EDR (Endpoint Detection and Response).

Le mécanisme de l’attaque

Dans cette attaque, les pirates ont abusé d’un pilote Windows signé mais ancien et révoqué, à l’origine fourni avec l’outil d’analyse médico-légale EnCase. Malgré l’expiration de son certificat numérique en 2010 et son retrait des canaux officiels, Windows continue à charger ce pilote par compatibilité, donnant aux attaquants un accès au niveau noyau du système.

Ce pilote a été intégré dans un composant malveillant appelé “EDR killer”, conçu pour terminer les processus des solutions de sécurité (EDR et antivirus) directement depuis le mode noyau, contournant ainsi les protections habituelles. Les attaquants ont commencé par compromettre des comptes VPN (par exemple via des identifiants SonicWall) pour pénétrer dans un réseau, puis ont chargé ce binaire malveillant pour désactiver les protections avant d’aller plus loin.

Cette méthode s’inscrit dans la technique dite Bring Your Own Vulnerable Driver (BYOVD), où un pilote légitime mais vulnérable est utilisé pour obtenir des privilèges élevés et neutraliser les défenses.

Pourquoi cette méthode est efficace

Accès au noyau (kernel) : un pilote chargé en mode noyau possède des privilèges très élevés sur le système, ce qui permet de contourner les protections de sécurité en place.
Confiance du système : même si le certificat du pilote est expiré ou révoqué, Windows peut encore l’accepter pour des raisons de rétro-compatibilité, créant une faille exploitable pour des attaques furtives.
Neutralisation des EDR : en supprimant ou en « killant » les processus de sécurité, les attaquants peuvent progresser dans l’infrastructure sans être détectés, ouvrant la voie à des opérations comme le déploiement de ransomwares ou l’exfiltration de données.

Enjeux pour les entreprises

Cette attaque met en lumière plusieurs défis pour la sécurité des systèmes d’information :

La complexité des mécanismes de chargement de pilotes sur Windows et les limites des contrôles de signature.
L’utilisation croissante de techniques avancées comme BYOVD pour contourner les protections modernes.
La nécessité d’assurer la sécurisation des accès externes (VPN, authentification forte, MFA).

Conclusion

Cette affaire illustre que même des composants considérés comme légitimes ou obsolètes peuvent être détournés pour contourner des défenses critiques. Pour les entreprises, et plus particulièrement pour ceux qui se forment aux métiers de l’infrastructure et de la sécurité, il devient essentiel de comprendre les mécanismes internes des systèmes, les risques liés aux composants noyau, et la manière dont des pilotes ou modules anciens peuvent représenter une porte d’entrée stratégique pour des attaquants.

La cybersécurité ne se limite pas à déployer des outils EDR : elle nécessite une veille active, une gestion rigoureuse des accès et des composants critiques, ainsi qu’une analyse approfondie des vecteurs d’attaque émergents pour garantir une sécurité durable et résiliente.

Source : Des pirates déconnectent les EDR via un pilote Windows obsolète – Le Monde Informatique

Auteur : Shweta Sharma, CSO (adapté par Louise Costa)

Date : 11 février 2026

cybersécurité

Une cyberattaque n’entraîne plus de rallonge budgétaire systématique
Paradmin9149 février 26, 2026février 26, 2026

Dans un contexte de cybermenaces croissantes, une idée répandue veut que les entreprises augmentent automatiquement leur budget cybersécurité après une violation de données. Cependant, les dernières observations montrent une baisse du nombre d’organisations qui envisagent des investissements supplémentaires après une attaque. Selon les données les plus récentes, moins de la moitié des entreprises déclarent qu’une…

Lire la suite Une cyberattaque n’entraîne plus de rallonge budgétaire systématique
cybersécurité

ENI forme des techniciens à la cybersécurité à Rennes
Paradmin9149 février 26, 2026

Face à la pénurie croissante de profils qualifiés en cybersécurité, ENI École Informatique renforce son offre de formation à Rennes en lançant un parcours dédié aux techniciens en cybersécurité. Cette initiative répond à une demande forte des entreprises, confrontées à une augmentation constante des menaces informatiques. Une réponse à la tension du marché Le secteur…

Lire la suite ENI forme des techniciens à la cybersécurité à Rennes
cybersécurité

Risques géopolitiques et cybersécurité pour les entreprises
Paradmin9149 décembre 18, 2025février 26, 2026

Contexte et enjeux Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a identifié que la géopolitique influence fortement la cybersécurité des organisations. Les tensions internationales, les choix technologiques (cloud, IA, fournisseurs) et les dépendances externes deviennent des paramètres incontournables à intégrer dans une stratégie de sécurité informatique. 1. Souveraineté numérique…

Lire la suite Risques géopolitiques et cybersécurité pour les entreprises
cybersécurité

Une faille critique dans RecoverPoint de Dell exploitée pendant 18 mois ?
Paradmin9149 février 25, 2026février 26, 2026

Une vulnérabilité critique a été découverte dans Dell Technologies RecoverPoint for Virtual Machines, une solution de réplication et de reprise d’activité utilisée dans des environnements virtualisés, notamment sous VMware. Identifiée sous la référence CVE-2026-22769, cette faille aurait été exploitée pendant près de 18 mois avant la publication d’un correctif. Une faille au score maximal La…

Lire la suite Une faille critique dans RecoverPoint de Dell exploitée pendant 18 mois ?
cybersécurité

Une vulnérabilité à corriger dans IGEL OS
Paradmin9149 février 26, 2026

Une série de vulnérabilités a été identifiée dans IGEL OS, le système d’exploitation dédié aux environnements de postes légers et de bureaux virtuels. Une des failles, référencée CVE-2025-47827, est jugée critique et doit être corrigée rapidement par les administrateurs pour éviter des compromissions potentielles. Une faille exploitée dans la nature Selon les experts, la vulnérabilité…

Lire la suite Une vulnérabilité à corriger dans IGEL OS
cybersécurité

Le malware Vidar dissimulé dans des paquets npm malveillants
Paradmin9149 février 26, 2026février 26, 2026

Une nouvelle campagne malveillante met en lumière les risques liés à la chaîne d’approvisionnement logicielle. Le malware Vidar a été обнаружé dans plusieurs paquets npm malveillants, visant les développeurs et les environnements de production. Une attaque via l’écosystème open source La plateforme npm, utilisée pour la gestion de dépendances JavaScript, constitue un pilier de nombreux…

Lire la suite Le malware Vidar dissimulé dans des paquets npm malveillants

Le mécanisme de l’attaque

Pourquoi cette méthode est efficace

Enjeux pour les entreprises

Conclusion

Publications similaires

Laisser un commentaire Annuler la réponse