Certains propriétaires de PC Windows se sont réveillés en début de semaine pour découvrir que leur ordinateur les envoyait soudainement des alertes de Windows Defender concernant un nouvel « outil de piratage » appelé WinRing0.
Ces alertes sont certes préoccupantes, mais il y a de fortes chances que votre ordinateur ne soit pas réellement attaqué, du moins pas pour l’instant. Mais cela ne signifie pas non plus que vous devez ignorer ces alertes.
Pourquoi WinRing0 a-t-il commencé à alerter Windows Defender ?
Le problème avec les alertes aléatoires de ce type, c’est qu’il n’est pas toujours évident de savoir quelle est la menace ou pourquoi Defender la considère comme telle. Dans le cas de WinRing0, c’est parce qu’un exploit dans ce logiciel de niveau noyau a été précédemment lié à un dangereux logiciel malveillant.
L’accès au niveau du noyau signifie essentiellement que WinRing0 a accès aux principaux composants et ressources du système d’exploitation. C’est un pari dangereux si le logiciel devient exploitable d’une manière ou d’une autre, et il semble que WinRing0 soit devenu une force motrice majeure dans la manière dont le logiciel malveillant SteelFox fonctionne et accède aux systèmes infectés.
Même si vous avez travaillé dur pour renforcer la sécurité de votre PC Windows avec Defender, des logiciels malveillants comme SteelFox pourraient utiliser l’exploit trouvé dans WinRing0 pour contourner vos mesures de protection.
L’autre grand problème d’un logiciel comme WinRing0 est qu’il a tendance à se retrouver dans de nombreux logiciels différents. Il fait partie de plusieurs applications de contrôle des ventilateurs de PC très répandues, comme notamment Fan Control
Windows Defender semble également déclencher des alertes si d’autres logiciels de surveillance tiers sont installés, notamment Libre Hardware Monitor, MSI Afterburner, SteelSeries Engine, Razer Synapse, OmenMon, etc.
Ce n’est pas une surprise
L’effet global que cela aura sur les logiciels de surveillance tels qu’Afterburner et Fan Control est déjà clair. À moins que Microsoft ne trouve un moyen pour ces applications d’accéder à ces autorisations de bas niveau à l’avenir, vous prendrez un risque de sécurité considérable en installant et en utilisant l’une d’entre elles.
Toutefois, cette décision n’est pas totalement inattendue. La panne massive de CrowdStrike l’année dernière a été terrible pour de nombreuses entreprises, y compris plusieurs entreprises du secteur de la santé. Depuis cette panne, Microsoft a subi une forte pression pour combler des failles de sécurité qui ne devraient pas exister, comme celle que WinRing0 utilise pour accéder aux autorisations au niveau du noyau.
On ne sait pas exactement pourquoi Microsoft a mis autant de temps à s’attaquer à WinRing0. Toutefois, cela ne signifie pas que les logiciels qui l’utilisent sont totalement inutiles. Vous pouvez toujours les utiliser si vous le souhaitez. Cependant, vous pourriez très bien mettre votre système en danger en le faisant.
Malheureusement, il existe une solution, mais elle est peu envisageable. L’exploit trouvé dans WinRing0 a déjà été corrigé, selon les commentaires sur GitHub. Cependant, il est peu probable que cette version soit approuvée et signée par Microsoft, car la communauté open source à l’origine de ce correctif ne pense pas pouvoir se permettre de faire signer la nouvelle version par Microsoft. Et sans la signature de Microsoft, vous ne pourriez de toute façon pas l’installer sur votre système Windows.
La seule autre solution serait que chacun de ces développeurs d’applications crée son propre logiciel pour accéder aux autorisations au niveau du noyau. Mais il s’agit d’une entreprise coûteuse que beaucoup d’entre eux ne peuvent pas se permettre. Et même s’ils le faisaient, cela entraînerait probablement des coûts supplémentaires qui seraient répercutés sur les utilisateurs de leurs logiciels par le biais d’achats de logiciels.
Conclusion
Si vous utilisez l’un des logiciels de surveillance mentionnés ci-dessus, ou si vous avez remarqué que Windows Defender vous a averti de la présence de WinRing0 sur votre système, il n’y a probablement pas lieu de s’inquiéter pour l’instant. Cependant, il est toujours préférable de jouer la carte de la sécurité, en particulier lorsqu’il s’agit de logiciels ayant un accès au niveau du noyau comme celui-ci.
