mer. Juil 8th, 2026

Une nouvelle vague d’attaques s’appuie sur des accès VPN volés et un pilote obsolète pour désactiver directement des solutions de sécurité modernes au niveau du noyau. L’absence d’une authentification à deux facteurs apparaît comme une faille critique.

Cette série d’attaques sophistiquées cible les réseaux d’entreprise. Les cybercriminels exploitent des identifiants compromis pour des SSL VPN de SonicWall afin d’infiltrer un outil puissant capable de désactiver des logiciels de sécurité modernes. Le petit subterfuge : ils détournent un pilote légitime, mais obsolète, pour s’ancrer profondément dans le système. Ces incursions, signalées en février 2026, alertent sur une vulnérabilité inquiétante dans la chaîne de défense de nombreuses entreprises.

Les attaquants utilisent la méthode nommée « Bring Your Own Vulnerable Driver » (BYOVD). Ils chargent un pilote vulnérable, mais numériquement signé, sur le système compromis. L’OS fait confiance à cette signature, offrant un accès sans entrave aux hackers. Dans ce cas, ils exploitent le pilote EnPortv.sys, qui fait partie du logiciel d’analyse EnCase. Bien que son certificat ait été révoqué en 2010, il reste chargeable sur des systèmes Windows modernes. Cette lacune dans la validation des pilotes est donc exploitée sans retenue.

Du VPN à l’« EDR-Killer »

L’attaque commence non pas par une faille logicielle, mais par des identifiants volés. Après une connexion réussie via le VPN, les cybercriminels explorent immédiatement le réseau de l’entreprise. Ils introduisent ensuite un logiciel malveillant déguisé en mise à jour de firmware, qui installe le pilote vulnérable comme un service permanent au niveau du noyau.

Des attaques modernes, comme celle-ci, tirent parti des identifiants VPN volés et des pilotes signés vulnérables pour désactiver les solutions de sécurité directement au niveau du noyau. De nombreuses équipes informatiques ne sont pas prêtes à contrer de telles manigances, et les approches classiques d’EDR ne suffisent souvent plus.

Dès que le pilote est actif, les véritables destructions commencent. L’outil exploite les droits du noyau pour neutraliser systématiquement les processus des logiciels de sécurité. Selon les analyses, il peut désactiver au moins 59 produits de sécurité différents, y compris des solutions modernes d’Endpoint Detection and Response (EDR), censées protéger contre de telles attaques. Même des mécanismes de protection avancés, tels que « Protected Process Light » (PPL), sont contournés. Les équipes de sécurité se voient ainsi aveuglées, tandis que les attaquants opèrent tranquillement dans le réseau pour voler des données ou préparer des attaques par ransomware.

Identifiants volés : Le plus grand risque

Les experts en sécurité soulignent que la chaîne d’attaques débute avec des accès VPN compromis. Dans un cas documenté, un essai de connexion à partir d’une adresse IP échoue ; une minute plus tard, une connexion réussie provient d’une autre adresse. Cela indique un test systématique de données d’identification volées. L’absence d’une authentification à deux facteurs (2FA) pour ces VPN représente un échec de sécurité majeur.

Cette dépendance aux mots de passe volés met en lumière un principe fondamental de la cybersécurité : la défense périmétrique est uniquement aussi forte que les méthodes d’authentification utilisées. Les pare-feux et les VPN sont des cibles privilégiées des attaquants. Sans une 2FA obligatoire, des identifiants de connexion volés ouvrent la voie à une intrusion dans des réseaux de confiance. Les experts affirment que la 2FA reste l’une des mesures les plus efficaces contre les accès non autorisés.

Implications pour l’industrie

Bien que l’utilisation de la technique BYOVD ne soit pas nouvelle, l’efficacité de cette campagne met en lumière un problème persistant pour les défenseurs. Les attaquants utilisent de plus en plus des composants logiciels légitimes pour passer inaperçus – une tactique qui contourne les approches de sécurité traditionnelles basées sur des signatures.

Pour les entreprises, cet incident rappelle l’importance d’une stratégie de défense multicouche. S’appuyer uniquement sur des solutions EDR ne suffit pas lorsqu’il est possible pour les attaquants de les désactiver depuis le noyau. Cet événement souligne également le besoin d’un gestionnaire d’identités et d’accès robuste, avec une application stricte de la 2FA pour tous les services accessibles à distance. Surveiller les journaux VPN à la recherche de modèles de connexion anormaux et implémenter des contrôles de sécurité avancés deviennent des nécessités.

Perspectives et mesures de protection

Face à cette menace, les experts en cybersécurité recommandent des actions immédiates, en particulier pour les utilisateurs des produits VPN de SonicWall. La mise en œuvre de la 2FA pour tous les accès à distance doit être une priorité pour empêcher le premier accès. De plus, les entreprises doivent examiner attentivement leurs journaux VPN à la recherche d’activités suspectes.

À long terme, nous pouvons nous attendre à une augmentation des attaques BYOVD. En réponse, les entreprises devraient établir des politiques de contrôle des applications pour réguler strictement le chargement de pilotes. Une chasse proactive aux menaces et l’application de listes de blocage pour les pilotes vulnérables peuvent constituer une couche de défense supplémentaire. Les attaquants perfectionnant continuellement leurs méthodes, les entreprises doivent se préparer en durcissant leurs points d’accès et en mettant en œuvre des mécanismes de protection du noyau.

Points à retenir

  • Les attaques par VPN volés et pilotes obsolètes exploitent des failles de sécurité critiques.
  • L’absence de 2FA est une faiblesse majeure dans la sécurité des réseaux d’entreprise.
  • Les entreprises doivent adopter des stratégies de défense multicouche et des contrôles d’accès rigoureux.
  • Monitoring des journaux VPN et application de politiques de contrôle des applications sont essentielles.
  • La vigilance et la prévention actives sont incontournables face à l’évolution rapide des menaces.

En prime, la question de la cybersécurité mérite une attention soutenue. Comment nos entreprises peuvent-elles anticiper les nouvelles méthodes des attaquants et réagir de manière appropriée ? L’engagement collectif envers une meilleure sécurité est essentiel pour faire face à ces défis croissants.


Partager : X Facebook WhatsApp LinkedIn Reddit

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *