Depuis Windows Vista, tous les éditeurs Microsoft doivent faire signer leurs drivers ou autres programmes. Sans cela, ils ne peuvent pas être installés par défaut sur le système d’exploitation sans créer d’alertes de sécurité. Le but est, au départ, d’éviter les logiciels malveillants, qui sont généralement signés grâce à des méthodes surprenantes, comme des certificats volés par exemple.

Or, l’entreprise a admis avoir signé, par accident, un programme qui s’est révélé être un logiciel espion chinois. Ce dernier se trouvait dans un driver appelé “NetFilter”, et s’est avéré être un rootkit. Cela permet aux pirates d’accéder aux données des utilisateurs, les voler, et les utiliser, et ce, en toute discrétion.

Des lacunes dans la sécurité de Microsoft

Normalement, Microsoft doit analyser le programme qui lui est introduit par les éditeurs avant de le signer. Cette fois-ci, le processus de validation habituel semble ne pas avoir été respecté ou a été négligé, car l’entreprise a reconnu avoir signé le programme en question. Cette erreur a permis au rootkit d’être installé sur plusieurs appareils Microsoft, sans que l’entreprise,les utilisateurs, ou les systèmes de sécurité ne puissent s’en rendre compte.

Cette négligence témoigne de certaines lacunes dans la sécurité de Microsoft, car les acteurs chinois ont réalisé cette opération avec une facilité déconcertante, en passant par le processus normal. “Le logiciel semble espionner illégalement des connexions SSL”, a indiqué le rétro-ingénieur Johann Aydinbas sur Twitter.

Selon l’entreprise de Redmond, l’activité des acteurs malveillants s’est limitée aux machines du secteur du jeu vidéo, principalement en Chine. “Nous avons suspendu le compte et sommes en train d'examiner leurs demandes passées pour des signes additionnels de malware”, assure Microsoft.

Ce type de défaillance soulève des questions sur la sécurité du processus de vérification de la firme, particulièrement car la signature d’un programme signifie généralement qu’il est sûr. Cet incident apparaît seulement quelques mois après que des hackers chinois aient réussi à pirater 30 000 organisations américaines grâce à une simple faille dans Microsoft Exchange.