Un nouveau cheval de Troie parvient à désactiver l’antivirus intégré de Windows
Un nouveau cheval de Troie baptisé Defendnot inquiète les experts en cybersécurité. Capable de forcer le système Windows à désactiver sa protection antivirus intégrée, ce malware expose les ordinateurs à des attaques et infections multiples.
Tl;dr
- Un outil désactive Microsoft Defender via une fausse inscription.
- Le projet a été supprimé après une requête DMCA.
- Microsoft détecte désormais Defendnot comme un trojan.
Un outil de recherche qui met à nu Microsoft Defender
La cybersécurité sur les machines Windows connaît parfois des failles surprenantes. C’est précisément ce qu’a démontré le chercheur en sécurité es3n1n avec la création d’un outil baptisé Defendnot. Ce logiciel parvient à désactiver automatiquement Microsoft Defender, le programme de protection natif de Windows, en le trompant grâce à l’enregistrement d’un faux antivirus. Résultat : l’ordinateur se retrouve sans aucune défense active face aux menaces potentielles.
Détournement du Windows Security Center : comment fonctionne Defendnot ?
Mais comment s’y prend cet outil pour abuser ainsi d’un système réputé robuste ? Defendnot exploite une API non documentée du Windows Security Center (WSC), un composant essentiel de la sécurité sous Windows. Cette API, identique à celle utilisée par les véritables antivirus, permet à Defendnot de s’annoncer comme un programme de sécurité valide auprès du système, même si aucun antivirus réel n’est installé. La conséquence directe : Windows désactive alors Defender afin d’éviter tout conflit entre deux logiciels de sécurité concurrents.
Pour compléter son arsenal, Defendnot propose aussi un module permettant de personnaliser le nom du faux antivirus et assure un lancement automatique à chaque démarrage via le planificateur de tâches. Un détail technique retient l’attention : l’outil injecte une DLL factice dans le processus système « Taskmgr.exe », légitimement signé par Microsoft, renforçant ainsi sa crédibilité auprès du système.
Une popularité éphémère et des réactions rapides
Le projet n’a pas tardé à susciter l’intérêt : après sa publication, il a rapidement engrangé près de 1 500 étoiles sur GitHub. Toutefois, confronté à une demande de retrait DMCA déposée par l’éditeur d’un antivirus tiers — dont le code avait servi d’inspiration au précédent projet « no-defender » —, es3n1n a préféré effacer toutes traces de Defendnot en ligne.
À noter que, tirant les leçons du passé, Defendnot s’affranchissait cette fois-ci de toute violation potentielle en développant ses propres modules depuis zéro. Malgré tout, cela n’aura pas suffi à éviter la polémique.
Mieux comprendre les risques et s’en prémunir
Aujourd’hui, les outils tels que Defendnot montrent combien certaines fonctionnalités système peuvent se retourner contre elles-mêmes. Néanmoins, l’impact direct reste limité : Microsoft Defender détecte déjà cet utilitaire comme un trojan, grâce à ses algorithmes fondés sur l’apprentissage automatique.
Pour les utilisateurs souhaitant maximiser leur protection sous Windows, quelques précautions s’imposent :
- Miser sur des suites antivirus reconnues pour renforcer la sécurité globale.
- Conserver activé Microsoft Defender pour bénéficier d’une protection complémentaire.
- S’assurer que tous les logiciels restent régulièrement mis à jour.
Cette affaire rappelle que même les solutions intégrées ne sont jamais infaillibles et qu’une vigilance constante demeure la meilleure parade face aux menaces numériques.
