Le chercheur en sécurité qui répond au pseudonyme de Jonhat a découvert une faille incroyablement facile à exploiter et permettant d’obtenir les privilèges admin/system sur un ordinateur Windows 10. Il suffit en effet d’acheter une souris de la marque Razer (coût : à partir de 30 euros) et de la brancher par le câble USB. Le système d’exploitation va automatiquement télécharger le programme d’installation, qui a la bonne idée de s’exécuter avec les privilèges admin/system, comme l’a pu constater Bleeping Computer.
Sur l’un des écrans, le programme permet de modifier l’emplacement pour l’installation. Cliquer sur cette option provoque l’ouverture de l’explorateur de fichiers. Il suffit alors d’appuyer sur la touche Majuscule, de faire un clic droit avec la souris et de sélectionner « Ouvrir la fenêtre PowerShell ici » dans le menu contextuel. Et hop, on dispose alors d’un accès total au système, et donc notamment aux données des autres utilisateurs de la machine.
Alerté par Jonhat, Razer n’a pas réagi tout de suite. Mais l’histoire a rapidement fait boule de neige sur Twitter, et le fournisseur a signalé qu’il allait produire un correctif le plus rapidement possible. En attendant, ne laissez personne se brancher sur votre ordinateur avec une souris Razer ! En entreprise, le risque est moindre, car le téléchargement et l’exécution de programmes d’installation sont généralement proscrits par défaut.
1 Commentaire