Un nouveau ransomware appelé GodDamn fait les gros titres pour une technique qui devrait inquiéter quiconque pense que son logiciel antivirus a le dernier mot sur ce qui s'exécute sur sa machine. Selon un rapport de Dark Reading, les attaquants derrière GodDamn utilisent un pilote noyau malveillant que Microsoft a lui-même signé, transformant un certificat numérique de confiance en une arme contre les outils de sécurité censés l'arrêter. C'est un exemple classique d'attaque BYOVD, abréviation de « Bring Your Own Vulnerable Driver », et cela devient l'une des astuces les plus fiables du répertoire des opérateurs de ransomware.

Que s'est-il passé

Le ransomware GodDamn a frappé des entreprises américaines en déployant un pilote de niveau noyau portant une signature légitime de Microsoft. Comme Windows fait confiance aux pilotes signés pour fonctionner au cœur du système d'exploitation, ce pilote a pu passer outre les défenses et arrêter les logiciels de sécurité avant même l'exécution de la charge utile du ransomware. Une fois la protection des terminaux désactivée, les attaquants sont libres de chiffrer les fichiers et de se déplacer sur le réseau sans être détectés. Le fait que Microsoft ait signé le pilote en premier lieu est le détail le plus frappant ici : cela signifie que le code malveillant n'a pas eu besoin d'exploiter une faille de Windows, mais plutôt d'exploiter la confiance placée dans le processus de signature lui-même.

Comment BYOVD contourne votre pile de sécurité

Les pilotes noyau fonctionnent au niveau de privilège le plus élevé sur une machine Windows, en dessous de la couche où la plupart des antivirus et des outils de détection des terminaux s'exécutent. C'est précisément pourquoi les attaquants en veulent un. Un pilote avec une signature valide ne déclenche pas le même examen minutieux qu'un exécutable non signé ou inconnu, il peut donc se charger discrètement et être ensuite utilisé pour désactiver, aveugler ou tuer les autres processus de sécurité en cours d'exécution sur le système.

Cela va au-delà des antivirus traditionnels. Les logiciels clients VPN, les outils de filtrage DNS et d'autres applications de confidentialité ou de sécurité s'exécutent également en tant que processus sur le même système d'exploitation, et ils peuvent être tout aussi vulnérables à l'arrêt par un attaquant au niveau noyau qui dispose déjà de ce niveau de contrôle. Un VPN chiffre votre trafic et peut aider à empêcher certains types d'espionnage réseau, mais il n'a jamais été conçu pour empêcher un pilote malveillant de désactiver les logiciels de sécurité au niveau du système d'exploitation. Une fois que l'attaquant a accès au noyau, il opère en dessous de ce que la plupart des outils de sécurité grand public et d'entreprise peuvent voir, c'est exactement pourquoi une défense en couches est importante plutôt que de s'appuyer sur un seul outil.

BYOVD n'est pas nouveau, mais il est devenu une technique de prédilection précisément parce qu'il fonctionne si bien contre les défenses modernes. Les opérateurs de ransomware intègrent de plus en plus cette capacité directement dans leur logiciel malveillant plutôt que de la traiter comme un outil séparé déployé au préalable, ce qui accélère les attaques et rend la détection plus difficile. Le schéma plus large des attaquants qui agissent rapidement une fois qu'ils ont trouvé quelque chose qui fonctionne est visible dans tout le paysage des ransomwares en ce moment. Les groupes d'extorsion ont également montré leur volonté de frapper rapidement les infrastructures critiques, comme on l'a vu lorsque SpaceBears a ciblé un opérateur télécom français plus tôt cette année, et les opérations de vol de données à grande échelle comme celle revendiquée par ShinyHunters contre la NAIC montrent à quel point les données sont en jeu une fois que les défenses initiales tombent.

Pourquoi cela est important pour la sécurité de votre appareil

La leçon principale de GodDamn ne concerne pas le ransomware en soi, mais la fragilité des modèles de sécurité basés sur la confiance. Le code signé, les certificats vérifiés et l'approbation des fournisseurs sont tous censés signaler la sécurité, mais les attaquants trouvent continuellement des moyens d'abuser de ces mêmes signaux. La rapidité est également un facteur. Tout comme les attaquants se sont rapidement mobilisés pour compromettre des dizaines de milliers de serveurs après la divulgation d'une vulnérabilité critique de contournement d'authentification cPanel, les groupes de ransomwares sont prompts à opérationnaliser toute technique, y compris les pilotes signés malveillants, qui leur donne un avantage sur les défenseurs.

Pour les utilisateurs quotidiens comme pour les administrateurs informatiques, cela renforce un point simple : une seule couche de sécurité, qu'il s'agisse d'un antivirus, d'un VPN ou d'un pare-feu, n'est pas suffisante en soi. La défense en profondeur, c'est-à-dire plusieurs protections qui se chevauchent, reste le moyen le plus réaliste de réduire le risque lorsque les attaquants trouvent activement des moyens de contourner un contrôle donné.

Ce que cela signifie pour vous

Si vous gérez des systèmes Windows, que ce soit à la maison ou en entreprise, la campagne du ransomware GodDamn est un rappel pour maintenir à jour l'application de la signature des pilotes, la détection des terminaux et la gestion des correctifs. Windows dispose de mécanismes pour bloquer les pilotes connus comme malveillants, et il est essentiel de maintenir ces défenses à jour, car les attaquants comptent sur des listes de blocage obsolètes pour faire passer des pilotes vulnérables sans être détectés.

Un VPN reste un élément précieux de votre boîte à outils de confidentialité et de sécurité, notamment pour chiffrer le trafic sur des réseaux non fiables et limiter l'exposition à certaines formes de surveillance, mais il doit être compris comme une couche parmi d'autres plutôt que comme une défense complète contre les logiciels malveillants sophistiqués. Combiner un VPN réputé avec un logiciel antivirus à jour, des correctifs de système d'exploitation en temps opportun et une manipulation prudente des téléchargements et des pièces jointes aux e-mails vous offre une posture globale bien plus solide que de s'appuyer sur un seul outil.

Points d'action concrets

Maintenez Windows et tous les logiciels de sécurité entièrement à jour, car Microsoft met périodiquement à jour sa liste de blocage des pilotes vulnérables pour combler des failles comme celle-ci. Activez les fonctionnalités d'intégrité de la mémoire et d'isolation du noyau dans les paramètres de sécurité Windows lorsque cela est pris en charge, car elles peuvent rendre les attaques BYOVD plus difficiles à réaliser. Sauvegardez régulièrement les données critiques et conservez des copies hors ligne, afin que le chiffrement du ransomware ne puisse pas prendre vos fichiers en otage. Traitez votre VPN comme faisant partie d'une stratégie de sécurité plus large plutôt que comme un bouclier autonome, en l'associant à une protection des terminaux et à des habitudes de navigation sécuritaires. Enfin, tenez-vous informé des nouvelles techniques BYOVD et de ransomware, car comprendre comment les attaquants contournent les défenses basées sur la confiance est la première étape pour combler ces lacunes avant qu'elles ne vous atteignent.