Publié le 6 février 2026 à 19h13. Une nouvelle campagne de cyberattaques sophistiquée exploite des identifiants VPN compromis et un pilote obsolète pour désactiver les solutions de sécurité de pointe, mettant en péril les réseaux d’entreprises.
- Des attaquants utilisent des données d’accès VPN volées pour injecter un outil capable de neutraliser les logiciels de sécurité directement au niveau du noyau du système.
- La méthode d’attaque, surnommée « Apportez votre propre pilote vulnérable » (BYOVD), repose sur l’exploitation d’un pilote légitime mais obsolète, contournant ainsi les mécanismes de protection.
- L’absence d’authentification à deux facteurs (2FA) pour les accès VPN constitue une vulnérabilité critique facilitant ces intrusions.
Une vague d’attaques particulièrement préoccupante cible actuellement les réseaux d’entreprises. Les cybercriminels parviennent à désactiver les solutions de sécurité les plus modernes, notamment les solutions de Détection et Réponse des Points de Terminaison (EDR), en exploitant une faille subtile mais efficace : l’utilisation d’un pilote système vulnérable.
Selon les analyses, les attaquants s’introduisent initialement dans les systèmes via des identifiants VPN volés, souvent obtenus par des tests systématiques de combinaisons nom d’utilisateur/mot de passe compromises. Une fois à l’intérieur, ils injectent un logiciel malveillant déguisé en mise à jour de micrologiciel. Ce dernier installe un pilote vulnérable, EnPortv.sys, un composant du logiciel d’investigation EnCase, en tant que service permanent au niveau du noyau du système d’exploitation.
Ce pilote, bien que son certificat ait été révoqué dès 2010, peut encore être chargé sur les systèmes Windows modernes en raison d’une lacune dans la validation des pilotes. Les attaquants exploitent cette faille en utilisant la technique dite « Apportez votre propre pilote vulnérable » (BYOVD). Le système d’exploitation, faisant confiance à la signature numérique du pilote, ouvre ainsi une porte dérobée aux assaillants.
Une fois le pilote actif, il permet de désactiver jusqu’à 59 produits de sécurité différents, y compris les solutions EDR les plus avancées, et contourne même des mécanismes de protection sophistiqués comme « Protected Process Light » (PPL). Les équipes de sécurité se retrouvent ainsi aveuglées, tandis que les attaquants peuvent se déplacer librement sur le réseau pour voler des données ou préparer des attaques de rançongiciel.
Les experts en sécurité insistent sur le fait que la première étape de cette chaîne d’attaque est la compromission des accès VPN. Un cas documenté révèle qu’une tentative de connexion infructueuse a été suivie, une minute plus tard, par une connexion réussie à partir d’une autre adresse IP, suggérant un test méthodique des identifiants volés. L’absence d’authentification à deux facteurs (2FA) pour ces accès VPN représente donc une faille de sécurité majeure.
Les pare-feu et les VPN, bien qu’essentiels, ne sont efficaces que si les méthodes d’authentification sont robustes. Sans 2FA obligatoire, les identifiants volés offrent un accès direct au réseau de confiance. Les experts soulignent que l’implémentation de la 2FA est l’une des mesures les plus efficaces pour prévenir les accès non autorisés.
L’utilisation de la technique BYOVD n’est pas nouvelle, mais l’efficacité de cette campagne met en évidence un problème persistant pour les défenseurs. Les attaquants exploitent de plus en plus de composants logiciels légitimes pour échapper à la détection, une tactique qui rend les approches de sécurité traditionnelles basées sur les signatures moins efficaces.
Pour les entreprises, cet incident rappelle l’importance d’une stratégie de défense à plusieurs niveaux. S’appuyer uniquement sur les solutions EDR ne suffit pas si les attaquants peuvent les désactiver au niveau du noyau. Une gestion robuste des identités et des accès, avec l’application systématique de la 2FA pour tous les services accessibles à distance, est donc indispensable. La surveillance des journaux VPN pour détecter les schémas de connexion anormaux et la mise en œuvre de contrôles de sécurité avancés sont également cruciales.
En réponse à cette menace, les experts en cybersécurité recommandent une action immédiate, notamment pour les utilisateurs des produits VPN SonicWall. Il est primordial d’appliquer l’authentification à deux facteurs pour tous les accès à distance afin de prévenir l’accès initial. Les entreprises doivent également examiner attentivement leurs journaux VPN pour détecter toute activité suspecte.
À long terme, l’industrie s’attend à une augmentation des attaques BYOVD. En guise de contre-mesure, les entreprises devraient mettre en œuvre des politiques de contrôle des applications pour définir des règles strictes pour le chargement des pilotes. La recherche proactive des menaces et l’application de listes de blocage aux pilotes vulnérables peuvent constituer une couche de défense supplémentaire essentielle.
PS : Vous souhaitez protéger spécifiquement votre entreprise contre les attaques BYOVD et le contournement EDR ? Téléchargez notre guide gratuit qui explique en quatre étapes pratiques comment renforcer l’accès à distance, rendre obligatoire l’authentification à deux facteurs, identifier et bloquer les pilotes vulnérables et établir des contrôles proactifs de chasse aux menaces.