BRIEFING SÉCURITÉ · 11.07.2026 DEENFRES

Pratique & Mise en œuvre

Un pilote signé rend la protection des points de terminaison aveugle

Par Alec Chizhik · 11 juillet 2026 · 8 min de lecture

Un pilote avec une signature Microsoft valide désactive les processus de protection sur le point de terminaison. L’outil de sécurité continue de s’exécuter, mais ne signale plus rien. C’est exactement ce modèle que l’équipe Threat Hunter de Symantec a observé chez le groupe derrière le ransomware GodDamn. Le cas montre moins un nouveau logiciel malveillant que les limites de la confiance accordée aux pilotes Windows.

Les points clés en bref

  • La signature n’est pas une protection. Un pilote de noyau signé valide appelé PoisonX termine les processus de défense de l’extrémité et supprime leurs hooks. La console reste silencieuse.
  • Les droits d’administrateur suffisent. Windows charge automatiquement le pilote signé dans le noyau. Pas besoin d’exploit supplémentaire, pas de CVE requis.
  • La détection l’emporte sur la confiance. La télémétrie de chargement de pilote, la liste de blocage des pilotes vulnérables et la minimisation cohérente des droits s’appliquent là où la vérification de signature échoue.

Lié : Ce qui distingue vraiment EDR et XDR  ·  Comment fonctionne une attaque de ransomware

Ce qui se cache derrière le pilote signé

Qu’est-ce qu’une attaque BYOVD ? Bring Your Own Vulnerable Driver décrit une technique par laquelle un attaquant avec des droits d’administrateur apporte un pilote signé valide mais défectueux ou malveillant sur le système. Windows vérifie la signature, la trouve en ordre et charge le pilote dans le noyau. Pas besoin d’exploit supplémentaire.

Dans le cas de GodDamn, le pilote s’appelle PoisonX et porte une véritable signature de Microsoft Windows Hardware Compatibility Publisher. Symantec souligne une particularité : le BYOVD classique abuse d’un pilote légitime mais vulnérable. PoisonX est au contraire un pilote malveillant dès le départ, que ses développeurs ont fait passer la vérification de signature. Une fois chargé, il termine les processus de défense de l’extrémité installée et supprime les hooks de mode utilisateur via lesquels les antivirus et EDR observent un système. L’agent reste formellement actif. Sa vision de l’événement a disparu.

GodDamn lui-même n’est pas une nouvelle création. Broadcom classe la famille sous le nom d’un acteur appelé Hyadina et l’évalue comme successeur de Beast, qui est lui-même issu de l’ancienne lignée Monster. PoisonX n’apparaît pas seulement dans ce seul groupe. Le pilote est déjà documenté dans d’autres boîtes à outils et constitue donc un élément de construction répandu, pas un cas isolé.

La longue phase préalable au chiffrement

Le chiffrement se situe à la fin d’une chaîne, pas au début. Dans la campagne décrite par Symantec, les attaquants se sont procuré l’accès via l’outil de téléadministration AnyDesk et l’ont déposé dans un endroit discret du profil utilisateur. Ensuite, ils ont utilisé un ensemble d’outils NirSoft disponibles gratuitement pour collecter les informations d’identification.

Ce n’est qu’alors qu’ils ont déplacé latéralement à travers le réseau, désactivé le Defender via ses propres commandes d’administration et configuré des services pour la persistance. Jusqu’au déploiement du ransomware, une dizaine de systèmes avaient été atteints. Cette phase préalable dure des heures à des jours. C’est la véritable fenêtre de détection.

Pourquoi la confiance dans les signatures atteint ses limites

L’hypothèse largement répandue est que ce qui est signé est digne de confiance. L’affaire PoisonX la contredit. Une signature valide atteste de l’origine d’un code. Mais elle ne dit rien sur son intention. Dès qu’un attaquant a déjà des droits d’administrateur, la signature devient un laissez-passer pour accéder au noyau.

Microsoft répond à cela avec une liste noire des pilotes problématiques connus et avec une intégrité de code protégée par hyperviseur. Ces deux mécanismes aident, mais agissent de manière réactive. Entre la découverte d’un pilote abusé et son inscription sur la liste noire, il existe une fenêtre. Tous les systèmes n’ont pas l’isolement du noyau activé. La compatibilité avec les anciens logiciels retarde en outre la mise en œuvre.

Ce que Detection-Engineering met en place concrètement

L’effet de levier se situe au niveau du comportement, et non de la signature. Le chargement d’un pilote de noyau est un événement rare et facile à observer. Sysmon le enregistre avec le hachage, l’état de signature et le chemin. Un pilote chargé à partir d’un dossier utilisateur plutôt que du répertoire système est un signal fort.

De même, la création d’un service de noyau à partir d’une source inhabituelle, ainsi que la fin soudaine de processus de sécurité, sont des indicateurs révélateurs. Qui corrèle ces trois événements voit l’attaque avant que le chiffrement ne commence.

Vérifier immédiatement

  • Activer l’isolement du noyau et l’intégrité de la mémoire (HVCI) sur les points de terminaison où le matériel et les pilotes le permettent.
  • Appliquer la liste noire des pilotes vulnérables de Microsoft et compléter avec des règles WDAC personnalisées contre les pilotes abusés connus de LOLDrivers.
  • Surveiller les événements de chargement de pilotes (Sysmon Event 6) pour les chemins inhabituels ainsi que l’installation de services de noyau (System-Log 7045).
  • Activer la protection contre les manipulations de l’EDR pour empêcher que l’agent ne soit simplement désactivé.
  • Supprimer les droits d’administrateur local dans la vie quotidienne, mettre en œuvre LAPS et un modèle de hiérarchisation.

La minimisation des droits comme préalable

Toutes les contrôles mentionnées partagent une condition. Sans droits d’administrateur, aucun attaquant ne peut charger un pilote dans le noyau. C’est précisément pourquoi la minimisation des droits se situe au début de toute réponse efficace, et non à la fin.

Concrètement, cela signifie : pas de droits d’administrateur local permanents, accès Just-in-Time pour les tâches privilégiées, LAPS pour les comptes locaux et une hiérarchisation qui éloigne les administrateurs de domaine des points de terminaison. La liste noire, HVCI et la télémétrie ne déploient leur effet que si les droits d’administrateur largement distribués ne font pas déjà la moitié du travail pour les attaquants.

Foire aux questions

Chaque question est fermée. Un clic déverrouille la réponse.

Qu’est-ce qu’une attaque BYOVD ?

Bring Your Own Vulnerable Driver désigne l’introduction d’un pilote signé valide mais défectueux ou malveillant par un attaquant disposant de droits d’administrateur. Windows fait confiance à la signature et charge le pilote dans le noyau, où il s’exécute avec les plus hauts privilèges.

Un EDR à jour suffit-il contre cette technique ?

Pas seul. Le pilote signé s’attaque exactement à la défense et lui soustrait la visibilité. La détection ne devient efficace qu’en combinaison avec une protection contre les manipulations, une télémétrie des pilotes et des droits d’administrateur restreints.

La liste de blocage des pilotes vulnérables de Microsoft protège-t-elle de manière fiable ?

Elle aide, mais agit de manière réactive. Entre la découverte d’un pilote et son ajout à la liste, une fenêtre reste ouverte. Des règles WDAC personnalisées contre les pilotes connus pour être abusés comblent partiellement cette lacune.

Comment reconnaître l’attaque dans les journaux ?

Trois événements sont révélateurs : le chargement d’un pilote noyau à partir d’un dossier utilisateur, la création d’un service noyau à partir d’une source inhabituelle et l’arrêt soudain de processus de sécurité. Correlés, ils donnent une image claire.

Quelle est la première étape la plus importante ?

La réduction des droits d’administrateur largement distribués. Sans ces droits, aucun pilote ne peut être chargé dans le noyau. Toutes les autres contrôles reposent sur cela.

Conseils de lecture de la rédaction

Conseil de lectureCe qui distingue vraiment EDR et XDRConseil de lectureComment fonctionne une attaque de ransomwareConseil de lectureQuand les attaquants sont plus rapides que le correctif

Plus d’informations sur le réseau MBF Media

cloudmagazinPour la première fois, on peut observer une IA en train de réfléchirMyBusinessFutureIA dans les PME : du pilote à la mise à l’échelleDigital ChiefsLa direction IT détermine si le spin-off est rentable

Source de l’image : générée par IA (juillet 2026)

Pour aller plus loin

Un magazine d'Evernine Media GmbH