Contexte et émergence
Le rançongiciel Qilin (parfois nommé « Agenda ») s'est imposé depuis 2022 comme un acteur notable du modèle Ransomware‑as‑a‑Service (RaaS). Il opère principalement contre des cibles commerciales, industrielles et des services professionnels, en pratiquant la double extorsion (chiffrement des données + menace de publication).
Le CERT Santé (cyberveille.esante.gouv.fr) a publié le 12 août 2025 une alerte décrivant une évolution technique importante : l'usage par Qilin d'une méthode dite BYOVD | « Bring Your Own Vulnerable Driver » | permettant de contourner les protections classiques en chargeant des pilotes signés mais vulnérables.
Technique BYOVD : principe et fonctionnement
Le procédé BYOVD exploite la confiance accordée par le système d'exploitation aux pilotes signés. En chargeant un pilote légitime mais vulnérable dans l'espace noyau (kernel), un attaquant peut exploiter des failles (souvent via des IOCTL mal sécurisés) pour exécuter du code au niveau kernel, altérer la mémoire ou désactiver des protections comme les EDR/antivirus.
Dans l'incident analysé, les chercheurs de BlackPoint ont mis en évidence l'utilisation d'un pilote nommé TPwSav.sys (d'origine Toshiba) modifié pour permettre des lectures/écritures arbitraires en mémoire, puis l'exécution d'un shellcode au niveau kernel afin de déployer Qilin sans déclencher les systèmes de détection.
Cas comparables et tendances observées
Des acteurs et laboratoires tels que Elastic, Palo Alto (Unit42), CrowdStrike et Kaspersky ont documenté des attaques exploitant des pilotes vulnérables ou des techniques similaires de contournement d'EDR. Ces cas montrent une tendance à la généralisation de BYOVD et à la commercialisation d'outils facilitant cette technique sur des forums illicites.
Les facteurs favorisant cette propagation incluent : l'ampleur du parc de pilotes vulnérables, la confiance excessive dans la signature numérique des pilotes, ainsi que la difficulté pour les éditeurs d'assurer une revue de sécurité exhaustive des drivers tiers.
Risques et impacts pour les organisations
L'utilisation de BYOVD augmente la capacité d'un attaquant à contourner les protections endpoint, à rester furtif (réduction du bruit) et à obtenir un accès profond et persistant. Une compromission réussie peut mener à des exfiltrations massives, à un chiffrement étendu et à des coûts importants de réponse et de remise en service.
Les secteurs critiques (santé, industrie, infrastructures) sont particulièrement exposés en raison de la criticité des systèmes et parfois d'un parc matériel/logiciel hétérogène.
Recommandations opérationnelles
Prévention et durcissement :
- Maintenir à jour les pilotes et firmwares ; appliquer rapidement les correctifs publiés.
- Restreindre strictement les privilèges d'administration et l'installation de pilotes.
- Mettre en place des politiques de blocklisting pour pilotes connus vulnérables et utiliser les fonctionnalités Windows (Device Guard, HVCI) lorsque possible.
Détection et surveillance :
- Surveiller les drivers chargés au niveau kernel et détecter l'apparition de modules inhabituels.
- Analyser les appels IOCTL suspects et réaliser du threat hunting orienté mémoire/driver.
- Augmenter la visibilité sur les modifications kernel et les comportements anormaux des EDR.
Réponse et résilience :
- En cas d'incident, isoler immédiatement les hôtes, réaliser des dumps mémoire pour analyse et privilégier la restauration depuis backups intègres.
- Mettre en place des procédures de forensic kernel et revoir les règles de sécurité des privilèges et de gestion des pilotes.
Perspectives
La technique BYOVD est susceptible de se répandre davantage parmi les groupes de rançongiciels car elle réduit l'efficacité des défenses traditionnelles. Les éditeurs d'OS et les fournisseurs de drivers devront renforcer leurs contrôles, et les équipes SOC/IR devront améliorer la surveillance kernel‑level.
Une collaboration accrue entre fournisseurs de sécurité, éditeurs de pilotes et communautés de threat intelligence est nécessaire pour identifier rapidement les pilotes exploités et diffuser des mesures de mitigation.
Sources et lectures complémentaires
CERT Santé | Qilin ransomware : la menace du Bring Your Own Vulnerable Driver — 12 août 2025 :
https://cyberveille.esante.gouv.fr/actua...2025-08-12
BlackPoint Cyber | Qilin ransomware and the hidden dangers of BYOVD (analyse technique)
Elastic Security Labs | analyses autour de pilotes vulnérables et contournement d'EDR
Palo Alto Unit42, CrowdStrike, Kaspersky | rapports et blogs sur BYOVD et tentatives d'EDR bypass
Le rançongiciel Qilin (parfois nommé « Agenda ») s'est imposé depuis 2022 comme un acteur notable du modèle Ransomware‑as‑a‑Service (RaaS). Il opère principalement contre des cibles commerciales, industrielles et des services professionnels, en pratiquant la double extorsion (chiffrement des données + menace de publication).
Le CERT Santé (cyberveille.esante.gouv.fr) a publié le 12 août 2025 une alerte décrivant une évolution technique importante : l'usage par Qilin d'une méthode dite BYOVD | « Bring Your Own Vulnerable Driver » | permettant de contourner les protections classiques en chargeant des pilotes signés mais vulnérables.
Technique BYOVD : principe et fonctionnement
Le procédé BYOVD exploite la confiance accordée par le système d'exploitation aux pilotes signés. En chargeant un pilote légitime mais vulnérable dans l'espace noyau (kernel), un attaquant peut exploiter des failles (souvent via des IOCTL mal sécurisés) pour exécuter du code au niveau kernel, altérer la mémoire ou désactiver des protections comme les EDR/antivirus.
Dans l'incident analysé, les chercheurs de BlackPoint ont mis en évidence l'utilisation d'un pilote nommé TPwSav.sys (d'origine Toshiba) modifié pour permettre des lectures/écritures arbitraires en mémoire, puis l'exécution d'un shellcode au niveau kernel afin de déployer Qilin sans déclencher les systèmes de détection.
Cas comparables et tendances observées
Des acteurs et laboratoires tels que Elastic, Palo Alto (Unit42), CrowdStrike et Kaspersky ont documenté des attaques exploitant des pilotes vulnérables ou des techniques similaires de contournement d'EDR. Ces cas montrent une tendance à la généralisation de BYOVD et à la commercialisation d'outils facilitant cette technique sur des forums illicites.
Les facteurs favorisant cette propagation incluent : l'ampleur du parc de pilotes vulnérables, la confiance excessive dans la signature numérique des pilotes, ainsi que la difficulté pour les éditeurs d'assurer une revue de sécurité exhaustive des drivers tiers.
Risques et impacts pour les organisations
L'utilisation de BYOVD augmente la capacité d'un attaquant à contourner les protections endpoint, à rester furtif (réduction du bruit) et à obtenir un accès profond et persistant. Une compromission réussie peut mener à des exfiltrations massives, à un chiffrement étendu et à des coûts importants de réponse et de remise en service.
Les secteurs critiques (santé, industrie, infrastructures) sont particulièrement exposés en raison de la criticité des systèmes et parfois d'un parc matériel/logiciel hétérogène.
Recommandations opérationnelles
Prévention et durcissement :
- Maintenir à jour les pilotes et firmwares ; appliquer rapidement les correctifs publiés.
- Restreindre strictement les privilèges d'administration et l'installation de pilotes.
- Mettre en place des politiques de blocklisting pour pilotes connus vulnérables et utiliser les fonctionnalités Windows (Device Guard, HVCI) lorsque possible.
Détection et surveillance :
- Surveiller les drivers chargés au niveau kernel et détecter l'apparition de modules inhabituels.
- Analyser les appels IOCTL suspects et réaliser du threat hunting orienté mémoire/driver.
- Augmenter la visibilité sur les modifications kernel et les comportements anormaux des EDR.
Réponse et résilience :
- En cas d'incident, isoler immédiatement les hôtes, réaliser des dumps mémoire pour analyse et privilégier la restauration depuis backups intègres.
- Mettre en place des procédures de forensic kernel et revoir les règles de sécurité des privilèges et de gestion des pilotes.
Perspectives
La technique BYOVD est susceptible de se répandre davantage parmi les groupes de rançongiciels car elle réduit l'efficacité des défenses traditionnelles. Les éditeurs d'OS et les fournisseurs de drivers devront renforcer leurs contrôles, et les équipes SOC/IR devront améliorer la surveillance kernel‑level.
Une collaboration accrue entre fournisseurs de sécurité, éditeurs de pilotes et communautés de threat intelligence est nécessaire pour identifier rapidement les pilotes exploités et diffuser des mesures de mitigation.
Sources et lectures complémentaires
CERT Santé | Qilin ransomware : la menace du Bring Your Own Vulnerable Driver — 12 août 2025 :
https://cyberveille.esante.gouv.fr/actua...2025-08-12
BlackPoint Cyber | Qilin ransomware and the hidden dangers of BYOVD (analyse technique)
Elastic Security Labs | analyses autour de pilotes vulnérables et contournement d'EDR
Palo Alto Unit42, CrowdStrike, Kaspersky | rapports et blogs sur BYOVD et tentatives d'EDR bypass
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
