Microsoft explique mener l'enquête après la découverte d'un malware-espion chinois signé de manière officielle pour Windows 10. Les auteurs du malware se seraient simplement plié au processus de signature officiel – qui implique normalement des vérifications de la part de Microsoft, pointant vers de possibles faiblesses dans la sécurité du système de signatures de Windows.

Microsoft admet avoir signé par erreur un logiciel qui s'avère être un malware-espion contrôlé par des acteurs basés en Chine. Le malware en question était caché dans un driver nommé “NetFilter”. Il s'agit d'un rootkit communiquant en permanence avec ses commanditaires, sans offrir de fonctionnalité réellement utile pour les utilisateurs.

L'existence de cet étonnant malware signé a été repéré la semaine dernière. Depuis Windows Vista, Microsoft force les éditeurs à faire signer leurs drivers et autres programmes. La signature conditionne leur installation par défaut sur le système. Habituellement, les malware qui comportent une signature sont signés grâce à des certificats volés ou d'autres méthodes semblables.

Lire également : Microsoft Exchange – le portail d'administration est bloqué car son certificat SSL a expiré

Malware signé par Microsoft : ses auteurs n'ont eu qu'à le demander gentiment

Les acteurs légitimes, eux, peuvent se soumettre au processus d'évaluation interne de Microsoft, ce qui implique normalement que leur programme sera analysé avant que la firme n'y appose sa signature. En reconnaissant avoir signé officiellement le programme, Microsoft montre des failles dans ses protocoles de vérification.

Les acteurs malicieux n'ont eu en effet qu'à utiliser le processus de validation normal, utilisé par les éditeurs tiers légitimes. Microsoft explique dans un communiqué de presse : “Microsoft enquête sur un acteur malicieux qui a distribué des drivers malicieux au sein d'environnements de gaming. L'acteur a soumis les drivers pour certification au travers du Windows Hardware Compatibility Program”.

Et la firme de poursuivre : “nous avons suspendu le compte et sommes en train d'examiner leurs demandes passées pour des signes additionnels de malware”. Microsoft assure que le malware en question ciblait surtout des machines dans le secteur du gaming basées en Chine.

Ce type d'abus met en lumière des imperfections dans la manière dont Microsoft vérifie le code source avant de signer des logiciels. On espère en tout cas que la firme fera le nécessaire pour que ce genre d'incident ne se reproduise plus.

Source : Bleeping Computer