Windows sous alerte : bluehammer, une faille zero-day critique
Microsoft est de nouveau sous le feu des projecteurs, et cette fois, l'alerte est d'une ampleur considérable. Une vulnérabilité de privilèges dans Windows, baptisée BlueHammer, a été rendue publique par un chercheur indépendant se faisant appeler Chaotic Eclipse / Nightmare‑Eclipse, menaçant de compromettre la sécurité d'innombrables systèmes.
Un exploit zero-day aux conséquences potentiellement désastreuses
Le problème majeur réside dans l'absence, pour l'instant, d'un correctif officiel. BlueHammer est donc un zero-day, ce qui signifie que Microsoft doit agir avec la plus grande urgence pour y remédier. Un attaquant ayant déjà un accès local au système pourrait exploiter cette faille pour obtenir des privilèges d'administrateur, voire de SYSTEM, lui conférant un contrôle quasi total sur l'ordinateur. Bien que l'exploitation ne soit pas triviale, elle offre à un acteur malveillant suffisamment motivé la possibilité de gérer des comptes, de voler des données sensibles et d'installer des logiciels malveillants, le tout sans laisser de traces évidentes.
L'histoire prend une tournure encore plus préoccupante : le chercheur affirme que Microsoft connaissait déjà cette vulnérabilité et que la réponse du Microsoft Security Response Center (MSRC) n'a pas été à la hauteur de ses attentes. Frustré par le processus de divulgation, il a choisi de publier le code de l'exploit, non pas avec tous les détails techniques, mais suffisamment pour que sa dangerosité soit manifeste. Le code, hébergé sur GitHub, comporte quelques imperfections, mais son existence même suffit à sonner l'alarme.
Microsoft, de son côté, se défend en invoquant le modèle de divulgation coordonnée, privilégiant une préparation minutieuse des correctifs avant la publication du code. Cependant, dans le cas de BlueHammer, cette coordination semble s'effondrer sous la pression de la situation. La compagnie assure qu'elle travaille d'arrache-pied pour pallier cette faille, mais la rapidité de sa réaction sera déterminante.
Une série de revers pour microsoft en l'espace de quelques semaines
Cet incident s'inscrit dans une série de contretemps pour Microsoft. À peine quelques jours auparavant, une autre faille de sécurité avait été révélée, permettant aux cybercriminels de se faire passer pour des outils courants tels que Zoom, Microsoft Teams ou Google Meet, rendant leur identification extrêmement difficile. Leur ruse repose sur un leurre classique : un e-mail frauduleux simulant une source fiable, incitant l'utilisateur à ouvrir un document PDF qui déclenche une fausse fenêtre demandant l'installation d'Adobe.
La sophistication de ces attaques est alarmante : les logiciels malveillants se présentent avec des certificats numériques légitimes émis par TrustConnect Software PTY LTD, ce qui trompe le système d'exploitation et lui fait croire qu'il s'agit de logiciels sûrs. Une fois installés, ces programmes se dissimulent dans le dossier Program Files et s'installent comme un service Windows, s'exécutant à chaque démarrage de l'ordinateur. Ils utilisent ensuite des outils de contrôle à distance comme ScreenConnect ou Tactical RMM, conférant à l'attaquant un contrôle total sur la machine. Une intrusion silencieuse et dévastatrice.
L'affaire BlueHammer, conjuguée à ces autres incidents, souligne une fragilité croissante du système Windows face aux attaques sophistiquées. Les utilisateurs sont donc appelés à la plus grande vigilance, et Microsoft doit impérativement accélérer le rythme de ses correctifs de sécurité pour éviter une catastrophe imminente.