Une signature Microsoft valide ne garantit pas la sécurité d'un pilote
Lire le blog
Vectra AIfigure parmi les leaders du Magic Quadrant de Gartner pour la gestion des réponses aux incidents (NDR) en 2026
Lire le rapport
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Menace de cybersécurité

Une signature Microsoft valide ne garantit pas la sécurité d'un pilote

June 23, 2026
6/23/2026
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Une signature Microsoft valide ne garantit pas la sécurité d'un pilote

En juin 2026, l’équipe Threat Hunter de Symantec Carbon Black a publié une analyse détaillée de la manière dont Hackledorb, le groupe à l’origine du ransomware DragonForce, a passé un à deux mois au sein d’une grande entreprise américaine de services. Avant de déployer le ransomware, avant même de désactiver le moindre processus de sécurité, les opérateurs ont chargé quatre pilotes en mode noyau les uns après les autres. Trois d’entre eux présentaient des vulnérabilités répertoriées (CVE). Le quatrième, un pilote audio Huawei que les opérateurs avaient baptisé « Havoc Process Terminator », ne présentait aucune vulnérabilité connue au moment de son déploiement.

Remarque concernant les noms utilisés. Symantec Carbon Black identifie cet opérateur sous le nom de « Hackledorb » ; Trend Micro désigne ce même groupe sous le nom de « Water Tambanakua ». Le terme « DragonForce » désigne le cartel de ransomware dans son ensemble ; plusieurs opérateurs mènent des attaques sous cette bannière. L’origine reste à confirmer : Intel 471 indique que l’opérateur principal publie des messages en russe sur des forums consacrés à la cybercriminalité ; une hypothèse faisant état d’un lien avec la Malaisie renvoie à un groupe hacktiviste distinct qui a nié tout lien début 2024.

Ce que vérifie réellement un certificat de pilote Microsoft

Tout pilote chargé sous Windows moderne doit comporter une signature Microsoft valide. Cette exigence est bien réelle.

Ce qu'il vérifie : que le pilote provient d'un fournisseur ayant suivi le processus de certification de Microsoft et que le fichier binaire n'a pas été altéré. Ce qu'il ne vérifie pas : si le pilote comporte des failles de sécurité. Cela n'a jamais été l'objectif de ce contrôle.

La signature du noyau est un gage de fiabilité quant à la provenance: elle indique qui a fourni le code. Elle ne garantit pas pour autant que le pilote ne puisse pas faire l'objet d'une exploitation.

Le principe « Bring Your Own Vulnerable Driver » (BYOVD) correspond à ce qui se produit lorsqu’un pirate exploite cette faille. Il charge un pilote légitime et signé présentant une faille de sécurité connue, utilise cette faille pour désactiver les logiciels de sécurité, puis passe à l’attaque. Windows détecte une signature valide et charge le pilote normalement. Le journal des événements enregistre une installation courante. Tout semble normal.

Ce que certifie un certificat de signature du noyau Deux colonnes : ce que vérifie une signature de noyau (identité du fournisseur, intégrité des binaires) par opposition à ce qu’elle ne vérifie pas (vulnérabilités de sécurité, possibilité d’exploitation future). Ce que certifie un certificat de signature du noyau ✓ Ce qu’il vérifie Identité du fournisseur Le pilote provenait d'un fournisseur connu. qui ont obtenu la certification Microsoft Intégrité binaire Le fichier n'a pas été altéré depuis sa signature ✗ Ce qu'il ne vérifie pas Vulnérabilités en matière de sécurité Que le code comporte ou non des failles qui peuvent être exploitées Exploitabilité future Que quelqu'un trouve un moyen de en faire une arme des années plus tard

La même bibliothèque, deux campagnes

Cette campagne n'est pas un cas isolé.

En juin 2026, ESET a publié une étude sur GentleKiller, un framework BYOVD qu’un deuxième groupe de ransomware distribue à ses affiliés en tant qu’outillage standard préalable à l’attaque. Il utilise des pilotes signés provenant de plusieurs éditeurs légitimes pour désactiver les outils de sécurité de 48 éditeurs, dont Defender, CrowdStrike, SentinelOne et Sophos. ESET a recensé 478 victimes dans plus de 70 pays.

Les deux campagnes utilisaient un pilote audio Huawei. Dans le cadre de la campagne de décembre 2025, ce pilote ne présentait aucune vulnérabilité connue au moment de son déploiement par les opérateurs. Huntress a publié son analyse trois mois plus tard, après l'attaque.

La bibliothèque de pilotes regroupe un studio de jeux vidéo, un fournisseur de produits de sécurité, un fabricant de matériel audio et une société spécialisée dans la prévention de la fraude. Il s'agit d'entreprises légitimes qui ont commercialisé du code signé et qui n'ont joué aucun rôle dans ce qui s'est passé par la suite. Le processus de signature a validé chaque pilote au moment de sa mise sur le marché et a continué à les valider après la découverte des failles.

Quatre pilotes sous contrat, quatre secteurs d'activité Quatre éditeurs légitimes dont les pilotes signés ont été utilisés comme armes BYOVD : Tower of Fantasy (jeux vidéo), Topaz Antifraud (sécurité), K7 Security (sécurité) et Huawei Audio (matériel). Tous disposaient de signatures Microsoft valides. Trois d’entre eux présentaient des vulnérabilités CVE répertoriées qui n’avaient pas encore été ajoutées à la liste noire ; le quatrième ne présentait aucune vulnérabilité CVE au moment de l’attaque. Quatre pilotes sous contrat. Quatre fournisseurs agréés. Toutes les signatures Microsoft valides. Toutes utilisées comme armes. JEUX VIDÉO Tower of Fantasy Gamedriverx64.sys CVE-2025-61155 ✓ Signature valide ✗ Ajouté à la liste noire à temps LOGICIELS DE SÉCURITÉ Topaz Antifraude wsftprm.sys CVE-2023-52271 ✓ Signature valide ✗ Ajouté à la liste noire à temps LOGICIELS DE SÉCURITÉ K7 Security K7RKScan.sys CVE-2025-1055 ✓ Signature valide ✗ Ajouté à la liste noire à temps MATÉRIEL Huawei (audio) HWAuidoOs2Ec.sys Aucune vulnérabilité CVE n'était connue au moment de l'attaque ✓ Signature valide ✗ CVE au moment de l'attaque

La liste noire ne peut pas bloquer ce qui n'a pas encore été détecté

Microsoft tient à jour une liste noire des pilotes vulnérables. Strictement appliquée et régulièrement mise à jour, elle est efficace.

Le problème, c'est le timing. Un pilote n'est ajouté à la liste noire qu'après avoir été identifié dans le cadre d'une attaque, après le dépôt d'un CVE et une fois que la campagne a suscité suffisamment d'intérêt. Lors de l'attaque de décembre 2025, trois pilotes faisaient l'objet de CVE documentés qui n'avaient pas encore été intégrés à la liste noire. Le pilote Huawei, quant à lui, ne faisait l'objet d'aucun CVE.

Il ne s'agit pas d'une défaillance du processus, mais d'une contrainte structurelle . La liste noire est réactive. Les pirates exploitent la fenêtre temporelle qui s'écoule entre le moment où une vulnérabilité peut être exploitée et celui où les systèmes de défense parviennent à rattraper leur retard.

La lacune de la liste noire Chronologie : la vulnérabilité existe, un identifiant CVE lui est attribué avant l'attaque, celle-ci se produit alors que le pilote ne figure pas encore sur la liste noire, puis la liste noire est finalement mise à jour. Pour trois des quatre pilotes concernés par cette campagne, l'identifiant CVE avait été attribué avant l'attaque ; la véritable faille se situait entre l'attribution de l'identifiant CVE et la mise à jour de la liste noire. La liste noire ne peut bloquer que ce qui a déjà été détecté Vulnérabilité existe CVE attribué Attaque se produit Liste noire mis à jour La vulnérabilité CVE existe. Le pilote ne figure pas encore sur la liste noire.

La fenêtre de détection unique

Il existe un moment où un défenseur peut intercepter une attaque de type BYOVD avant que les outils de sécurité ne soient neutralisés.

Lorsqu'un pilote se charge en tant que service Windows, Windows enregistre l'ID d'événement 7045. Cet événement se déclenche alors que les outils de sécurité sont encore en cours d'exécution, avant que la séquence de désactivation ne commence. La surveillance de ces journaux pour détecter les installations de pilotes s'écartant de votre référence habituelle vous offre une marge de manœuvre pour agir.

Une fois la séquence de suppression lancée, cette fenêtre se ferme.

Il existe également une solution structurelle : l'activation de la fonction « Memory Integrity » (également appelée HVCI) impose une politique plus stricte au niveau des pilotes, qui bloque cette technique avant même qu'elle ne se déclenche. La plupart des environnements d'entreprise ne l'ont pas activée. Cette fonctionnalité nécessite une prise en charge matérielle et des tests de compatibilité que de nombreuses organisations n'ont pas encore effectués. La solution existe, mais son déploiement prend du retard.

Fenêtre de détection de l'ID d'événement 7045 Schéma en deux étapes : l'ID d'événement 7045 se déclenche lorsque le pilote se charge alors que des outils de sécurité sont encore en cours d'exécution. Une fois la séquence de désactivation terminée, ces outils disparaissent et la fenêtre de détection se referme. La fenêtre de détection dans une attaque de type BYOVD Étape 1 : Charges du conducteur L'événement ID 7045 se déclenche ici Outils de sécurité toujours en cours d'exécution Defender, EDR et SIEM sont tous actifs Fenêtre de détection ouverte tuer séquence Étape 2 : Outils de sécurité désactivés Defender, EDR, SIEM n'est plus en service Les journaux existent toujours, mais rien n'agit sur eux Fenêtre de détection fermée

Ce que le certificat ne couvre pas

La signature de code vous indique qui a fourni le pilote. Elle ne vous permet pas de savoir si quelqu'un d'autre pourra en tirer parti des années plus tard.

Ces deux campagnes s'appuient sur une base de données couvrant les jeux vidéo, la cybersécurité, le matériel informatique et les logiciels d'entreprise. Il s'agit de fournisseurs légitimes dotés de signatures valides, tous accessibles à tout pirate informatique qui parviendrait à identifier la faille adéquate.

BYOVD ne contourne pas le système de signature du noyau Windows. Il l'utilise.

L'ajout à une liste noire après l'exploitation d'une vulnérabilité constitue une approche réactive. La protection de l'intégrité de la mémoire (HVCI) représente une solution structurelle. En attendant son déploiement à plus grande échelle, la détection pratique passe par la recherche de l'ID d'événement 7045, qui signale le chargement anormal de pilotes.

La détection ne fonctionne pas mal. Elle est simplement incomplète.

Vectra AI au niveau de la couche réseau, et non au niveau endpoint; la procédure de désactivation décrite ici ne l'affecte donc pas. Si vous souhaitez approfondir la manière dont la détection basée sur le réseau s'intègre aux contrôles endpoint des identités pour combler ces trois failles, l'ebook « Mind Your Attack Gaps » présente l'architecture complète.

Foire aux questions