Une méthode inattendue permet de bloquer un antivirus sans le désinstaller. Elle exploite un outil présent par défaut dans Windows, utilisé normalement pour gérer les erreurs système.

Les logiciels de sécurité sont censés protéger les ordinateurs contre les menaces. Pourtant, certains chercheurs montrent qu’il est parfois possible de les désactiver sans utiliser de virus ni de logiciels malveillants. Ces démonstrations servent à alerter sur les failles encore présentes dans les systèmes, même ceux les plus récents comme Windows 11.

Un chercheur en sécurité, connu sous le nom de TwoSevenOneThree, a mis au point un outil appelé EDR-Freeze. Il utilise une fonction bien connue de Windows, le rapport d’erreurs (WER), pour bloquer le fonctionnement d’un antivirus comme Microsoft Defender.

L’outil agit sans installer de programme malveillant, sans utiliser de faille dans le système, et sans nécessiter de droits administrateur. Cela le rend particulièrement discret et difficile à détecter. Cette méthode représente une évolution des techniques d’attaque, car elle repose uniquement sur des fonctions normales de Windows 11, sans avoir à contourner les protections habituelles du système.

Sur le même sujet – ChatGPT devient l’agent double des hackers pour dérober vos données sensibles depuis Gmail

Une fonction de Windows détournée permet de bloquer Microsoft Defender sans provoquer d'alerte

Le fonctionnement repose sur un composant de Windows appelé WerFaultSecure, chargé de recueillir des informations lorsqu’un programme plante. Pour cela, il utilise un outil système appelé MiniDumpWriteDump, qui copie temporairement la mémoire du programme. Pendant cette opération, le logiciel visé est mis en pause. Le chercheur a découvert qu’en interrompant le processus juste au bon moment, l’antivirus reste bloqué indéfiniment. Résultat : il semble actif, mais ne protège plus rien. Un attaquant pourrait exploiter cette méthode pour désactiver discrètement la protection d’un PC, avant d’y installer un logiciel malveillant sans être détecté.

La technique fonctionne sur la dernière version de Windows 11, sans même devoir installer de pilote ou modifier le noyau du système. Des spécialistes en cybersécurité, comme Steven Lim, développent déjà des outils pour détecter ce type d’abus. Microsoft n’a pas encore réagi officiellement, mais pourrait à terme limiter l’utilisation de certaines fonctions système sensibles. Cette découverte montre une fois de plus qu’un outil légitime peut être détourné pour contourner les protections d’un ordinateur.

🛡️🥶 EDR-Freeze abuses WerFaultSecure.exe to suspend AV/EDR via MiniDumpWriteDump — no BYOVD needed.https://t.co/cxRk5stidg

I wrote a DefenderXDR KQL to catch it by mapping WerFaultSecure PID to core MDE processes. 🫡https://t.co/3k5vUtgWlY#CyberSecurity #EDRFreeze… pic.twitter.com/hkkP6fjzUK

— Steven Lim (@0x534c) September 21, 2025