Des attaquants ont détourné un vieux driver signé il y a près de vingt ans, toujours accepté par Windows malgré un certificat expiré et révoqué, pour killer les solutions de sécurité et préparer le terrain à une attaque de ransomware.
La logique de Microsoft est innacessible …
Non, c’est le principe même de la signature par un certificat. Si le certificat était valide lors de la signature, la signature est valable. On doit archiver les anciens certificat qui permettent de vérifier les signature. Ca fait partie de la preuve.
Et j’aime bien ces attaques, elles me font penser au piratage sur consoles: utiliser une faille dans un jeu pour installer ce qu’on veut. Dans un cas ça fait plaisir aux gens, dans l’autre un peu moins.
Sauf que dans les jeux, on les patchs de force pour fermer les failles, ici microsoft révoque les soit-disants certificats, mais au final cela ne révoque rien du tout et ils sont toujours utilisable, c’est tout ce que je constate.
Ex. C’est comme si tu étais locataire dans un immeuble, et que 10ans après tu reviens et peux re-rentrer dans le même logement alors que les serrures ont été changées, au final tu as un pass universel illimité dans le temps… grandiose.
Un certificat n’est pas une clé ou une serrure. Un certificat c’est une preuve d’identité et d’intégrité. Cela prouve que les données ont été vérifiées et que l’on peut vérifier qu’elles non pas été modifiées.
Il est normal de conserver les anciennes preuves d’identité. Faire ensuite confiance ou non aux anciennes preuves est une politique (que l’on peut modifier dans Windows visiblement d’ailleurs).
Il ne faut pas confondre deux chose:
- un pilote certifié ne peut pas être modifié: le certificat sert à vérifier que le pilote est bien passé dans les mains de MS, et que le contenu du que vous recevez est le même: il n’a pas été modifié entre-temps pour vous espionner ou pour tricher. La qualité du pilote par contre n’est pas dépendante de Ms.
- un pilote certifié peut avoir des bugs et des failles → dans ce cas il finit par s’ajouter à la liste des pilotes vulnérables. Cela ne remet pas en cause la signature qui a été faite. Les pilotes vulnérables sont un autre processus.
1 « J'aime »