Des problèmes se préparent dans les retombées de l’attaque de piratage de Nvidia, dont nous avons fait état pour la première fois fin février. Deux certificats de signature de code figuraient parmi les prétendus 1 To de données obtenues, qui compromettaient les schémas matériels, les micrologiciels, les pilotes, les informations sur les employés, etc. L’importance des certificats qui tombent entre les mains sales des pirates informatiques est que les acteurs de la menace peuvent les réutiliser pour signer leurs (mal)wares, rapporte Bleeping Computer.
Juste avant le week-end, le spécialiste de la sécurité informatique Bill Demirkapi Souligné les deux certificats Nvidia Corporation divulgués, tels que délivrés par VeriSign. Vous pouvez voir sur les captures d’écran ci-dessus que l’un d’eux a expiré en 2014 et l’autre en 2018. Bien que les certificats aient si clairement expiré, Demirkapi dit que « Windows permet toujours de les utiliser à des fins de signature de pilote ».
La preuve du danger lié à la publication de ces certificats est apparue quelques heures plus tard. Florian Roth, chercheur en sécurité, s’est rendu sur Twitter pour fournir des liens aux logiciels malveillants repérés dans la nature, signés comme s’il s’agissait de code Nvidia authentique et non modifié. Bien sûr, il ne s’agissait pas de liens vers les logiciels malveillants, mais plutôt vers des bases de données d’analyse de virus signalant leur existence.
Une longue liste de logiciels malveillants semble avoir été semée, désormais certifiée comme code Nvidia authentique. Parmi les paquets suspects, beaucoup semblent être infectés par Mimikatz, un programme utilisé pour extraire les mots de passe, les codes PIN, etc. de la mémoire d’un ordinateur qui en est victime.
D’autres logiciels malveillants « Nvidia signés » courants dans les listes de bases de données de détection en ligne étaient pour KDU – un logiciel malveillant rootkit, et pour les logiciels malveillants de cryptominage – un logiciel qui essaiera de consommer sournoisement les ressources informatiques de votre système, si on lui en donne la chance.
Pourquoi Windows ne bloque-t-il pas l’installation d’applications avec des certificats expirés ?
Les nouveaux logiciels malveillants peuvent désormais être signés numériquement pour « vérifier » que Nvidia était le développeur du fichier et qu’un tiers ne l’a pas modifié. Les dates d’expiration des certificats n’empêchent pas particulièrement la tromperie des auteurs de logiciels malveillants, car Windows les acceptera à certaines occasions.
Fait intéressant, le certificat qui a expiré en 2014 est la fuite la plus problématique des deux. C’était celui utilisé par tous les logiciels malveillants repérés dans la nature, en raison d’une faille. En 2015, Microsoft a délibérément autorisé l’exécution de pilotes certifiés antérieurs au 29 juillet 2015 dans un souci de rétrocompatibilité avec les anciens appareils.
Les administrateurs d’ordinateurs peuvent empêcher le code signé par les certificats escrocs de s’exécuter sur des machines utilisant les politiques de contrôle des applications Windows Defender pour contrôler les pilotes Nvidia pouvant être chargés. Cependant, il s’agit d’un processus de configuration avancé, nous espérons donc que Microsoft fournira des mises à jour utilisateur pour révoquer les certificats volés. Cependant, une action aussi radicale de Microsoft pourrait empêcher certains pilotes Nvidia plus anciens et légitimes de fonctionner sous Windows 10 et 11.