2 chercheurs en sécurité, Yaron Dinkin et Eyal Kraft, viennent de publier les résultats d'une expérience qui devrait donner des sueurs froides à pas mal de monde... Ils ont découvert 521 vulnérabilités dans les pilotes du noyau Windows, dont une bonne centaine exploitables pour de l'escalade de privilèges. Et tout ça ne leur a coûté que 600 dollars !

Mais comment ont-ils fait ? Eh bien ils se sont construit un pipeline en 5 étapes. D'abord, il a fallu récupérer 1654 pilotes uniques depuis le catalogue Microsoft Update ainsi que depuis les sites des constructeurs.

Ensuite, ils ont lancé un prétraitement automatique pour classer les cibles par surface d'attaque. Pour faire simple, dans Windows, quand un logiciel veut causer à un pilote du noyau, il lui envoie des commandes appelées IOCTL (Input/Output Control)... c'est un peu la sonnette d'entrée entre le monde utilisateur et le monde noyau. Leur pipeline analysait donc la complexité des fonctions qui répondent à ces commandes (les "handlers IOCTL"). Plus un handler est complexe, plus il y a de chances qu'une erreur s'y planque.

Et ils cherchaient en priorité les pilotes qui utilisent un mode de transfert de données appelé METHOD_NEITHER, c'est-à-dire le mode "démerde-toi". Car contrairement aux autres modes où Windows joue les intermédiaires et vérifie un minimum ce qui transite, ici le pilote reçoit directement les pointeurs bruts depuis l'espace utilisateur, sans aucun filet de sécurité du noyau. C'est ensuite au développeur du pilote de tout vérifier lui-même… et spoiler : beaucoup ne le font pas correctement ! Bref, c'est le genre de truc qui sent la vuln à plein nez.

Ensuite pour la recherche de vulnérabilité, c'est-à-dire vraiment le cœur de leur système, ils ont mis en place un conseil de 3 agents LLM avec chacun un rôle bien défini. Un agent décompile d'abord le binaire et renomme les fonctions, ensuite un autre identifie la surface d'attaque, et enfin le troisième audite chaque fonction pour trouver des corruptions mémoire. Le tout via OpenRouter , en mixant les modèles pour optimiser le ratio vulnérabilités par token. Coût moyen par cible : 3 dollars.

Et les résultats obtenus sont assez crazy loco car sur 202 binaires analysés, ils ont trouvé 521 vulns au total dont 45% de bugs de lecture/écriture mémoire arbitraire. Et 70% de ces vulnérabilités sont classées High ou Critical.

Mais évidemment y'a du faux positif (environ 60%), donc ils ont dû faire une review manuelle de chacun de ces bugs. Mais même après le tri ça laisse plus de 100 bugs réellement exploitables pour de l'escalade de privilèges sur Windows 11 ! Et les vendeurs concernés, c'est pas des petits joueurs : AMD, Intel, NVIDIA, Dell, Lenovo, IBM, Fujitsu...

D'ailleurs, le cas du driver AMD Crash Defender (amdfendr.sys) est parlant. Le device est accessible en écriture par n'importe quel utilisateur, expose des IOCTLs sans validation de taille correcte et permet de la corruption heap. Avec un peu de pool grooming, on arrive donc à de l'exécution de code kernel. Et quand on sait que ce driver tourne sur les instances AWS EC2 Windows avec processeurs AMD, on comprend vite que la surface d'attaque s'étend largement jusqu'au cloud.

(En parlant de reverse engineering assisté par IA, perso en ce moment, je suis en train de faire joujou avec Claude Code et Ghidra pour un projet dont je vous parlerai peut-être plus tard si j'y arrive, et franchement ça marche troooop bien c'est fou ! Les chercheurs de l'étude notent d'ailleurs qu'aujourd'hui, ils utiliseraient probablement "juste Claude Code avec des skills custom" plutôt que leur pipeline maison. C'est dire si l'outil d'Anthropic est fou !

Après le plus flippant dans cette histoire, comme d'habitude c'est pas les bugs. Non, ce sont les réactions des constructeurs car sur 15 vulnérabilités confirmées et rapportées à 8 vendeurs, toutes avec un score CVSS (gravité de la faille, sur 10) supérieur à 7, un seul a patché ! Il s'agit de Fujitsu, avec la CVE-2025-65001 . Les autres ont rejeté les rapports ou baissé les priorités malgré des vidéos de proof-of-concept montrant par exemple un BSOD depuis un compte utilisateur standard !

Le problème c'est que certains de ces produits hardware sont en fin de vie. Donc y'a plus de support. Mais ils ne révoquent pas les certificats de signature du driver. Du coup, ces pilotes restent utilisables pour des attaques BYOVD (Bring Your Own Vulnerable Driver), où un attaquant chargerait volontairement un driver signé mais vérolé pour compromettre le noyau.

Si vous bossez en sécurité, les chercheurs ont publié une liste de 234 hashes en double-SHA256 pour vérifier si vos machines contiennent des drivers affectés. Pour checker vos drivers, c'est simple :

sha256sum driver.sys | awk '{print $1}' | tr -d '\n' | sha256sum

Google vient de publier son rapport annuel sur les failles zero-day. En 2025, son équipe de renseignement a comptabilisé 90 vulnérabilités exploitées avant d'être corrigées. Près de la moitié visaient des équipements d'entreprise, un record, et les vendeurs de spyware passent en tête du classement pour la première fois.

90 failles, 43 contre les entreprises

Le Google Threat Intelligence Group a suivi 90 failles zero-day exploitées dans la nature en 2025, contre 78 en 2024 et 100 en 2023. Le chiffre global reste dans la même fourchette, mais la répartition a changé. 43 de ces failles ciblaient du matériel ou des logiciels d'entreprise, soit 48 % du total. C'est du jamais vu.

L'année précédente, on en comptait 36, et en 2023 seulement 30. 21 failles concernaient des logiciels de sécurité et des appliances réseau, et 14 visaient des équipements en bordure de réseau : routeurs, passerelles VPN, pare-feu. Le problème, c'est que ces appareils ne disposent pas d'outils de détection classiques, ce qui en fait des cibles idéales pour les attaquants.

Les vendeurs de spyware passent devant les États

Sur les 42 failles dont l'origine a pu être identifiée, 15 viennent de vendeurs commerciaux de logiciels espions, des sociétés comme NSO Group, Intellexa ou Candiru. C'est la première fois qu'ils dépassent les groupes soutenus par des États dans le décompte annuel.

Côté opérations gouvernementales, 12 failles sont attribuées à des acteurs étatiques, dont 7 liées à la Chine. Les cybercriminels « classiques » arrivent derrière avec 9 failles. Microsoft reste l'éditeur le plus ciblé, suivi de Google avec 11 failles et Apple avec 8. L'exploitation des navigateurs est au plus bas, mais celle des systèmes d'exploitation grimpe.

L'IA devrait accélérer la tendance

Google prévient que ça ne va pas se calmer. Les équipements réseau d'entreprise vont continuer à attirer les attaquants, et l'IA devrait accélérer la découverte de nouvelles vulnérabilités. Les éditeurs ont quand même fait des progrès : certaines catégories de failles ont pratiquement disparu grâce aux investissements en sécurité.

Sauf que voilà, les attaquants s'adaptent et se tournent vers les surfaces les moins protégées. Les appareils en bordure de réseau, qui gèrent du trafic sensible sans la moindre supervision, sont devenus la cible de choix.

Quoi qu'il en soit, 90 failles zero-day en un an, ça fait beaucoup. Et quand les vendeurs de spyware commercial passent devant les agences gouvernementales dans le classement, on comprend que l'espionnage numérique est devenu un business comme un autre.

Sources : Bleeping Computer , The Register