{"id":22965,"date":"2025-07-24T16:59:00","date_gmt":"2025-07-24T14:59:00","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22965"},"modified":"2025-07-22T17:00:52","modified_gmt":"2025-07-22T15:00:52","slug":"defendnot-disables-microsoft-defender-on-windows","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/defendnot-disables-microsoft-defender-on-windows\/22965\/","title":{"rendered":"Antivirus de Schr\u00f6dinger : la protection est-elle morte ou vivante ?"},"content":{"rendered":"

De nombreuses entreprises appliquent aujourd\u2019hui une politique Prenez vos appareils personnels (BYOD, ou \u00ab\u00a0Bring Your Own Device\u00a0\u00bb)<\/a>, permettant aux employ\u00e9s d\u2019utiliser leurs propres appareils \u00e0 des fins professionnelles. Cette pratique est particuli\u00e8rement r\u00e9pandue dans les organisations qui adoptent le travail \u00e0 distance. Le BYOD pr\u00e9sente de nombreux avantages \u00e9vidents, mais sa mise en \u0153uvre cr\u00e9e de nouveaux risques pour les entreprises sur le plan de la cybers\u00e9curit\u00e9.<\/p>\n

Pour prot\u00e9ger les syst\u00e8mes contre les menaces, les services de s\u00e9curit\u00e9 de l\u2019information exigent souvent qu\u2019un logiciel de s\u00e9curit\u00e9 soit install\u00e9 sur tous les appareils utilis\u00e9s \u00e0 des fins professionnelles. Parall\u00e8lement, certains employ\u00e9s, en particulier les techniciens les plus chevronn\u00e9s, peuvent consid\u00e9rer les logiciels antivirus davantage comme une entrave que comme une aide.<\/p>\n

Ce n\u2019est pas l\u2019attitude la plus raisonnable, mais il est difficile de les convaincre du contraire. Le principal probl\u00e8me est que les employ\u00e9s qui croient savoir mieux que les autres peuvent trouver un moyen de d\u00e9jouer le syst\u00e8me. Aujourd\u2019hui, nous \u00e9tudions l\u2019une de ces m\u00e9thodes\u00a0: un nouvel outil de recherche connu sous le nom de Defendnot<\/a>, qui d\u00e9sactive Microsoft Defender sur les appareils Windows en enregistrant de faux logiciels antivirus.<\/p>\n

Comment no-defender<\/em> a pav\u00e9 la voie avec un faux antivirus pour d\u00e9sactiver Microsoft Defender<\/h2>\n

Pour comprendre exactement comment Defendnot d\u00e9sactive Microsoft Defender, il faut remonter un an en arri\u00e8re. \u00c0 l\u2019\u00e9poque, un chercheur utilisant le pseudonyme\u00a0X es3n1n<\/a> a cr\u00e9\u00e9 et publi\u00e9 la premi\u00e8re version de l\u2019outil sur GitHub. Appel\u00e9 no-defender<\/a>, il \u00e9tait destin\u00e9 \u00e0 d\u00e9sactiver l\u2019antivirus int\u00e9gr\u00e9 Windows Defender.<\/p>\n

Pour ce faire, es3n1n a exploit\u00e9 une vuln\u00e9rabilit\u00e9 dans l\u2019API du Centre de s\u00e9curit\u00e9 Windows (WSC). Gr\u00e2ce \u00e0 elle, le logiciel antivirus informe le syst\u00e8me qu\u2019il est install\u00e9 et pr\u00eat \u00e0 commencer \u00e0 prot\u00e9ger l\u2019appareil en temps r\u00e9el. \u00c0 la r\u00e9ception d\u2019un tel message, Windows d\u00e9sactive automatiquement Microsoft Defender afin d\u2019\u00e9viter les conflits entre diff\u00e9rentes solutions de s\u00e9curit\u00e9 fonctionnant sur le m\u00eame appareil.<\/p>\n

En utilisant le code d\u2019une solution de s\u00e9curit\u00e9 existante, le chercheur a cr\u00e9\u00e9 son propre faux antivirus qui s\u2019est enregistr\u00e9 dans le syst\u00e8me et a pass\u00e9 toutes les v\u00e9rifications de Windows. Une fois Microsoft Defender d\u00e9sactiv\u00e9, l\u2019appareil est laiss\u00e9 sans protection, puisque no-defender n\u2019offre aucune protection.<\/p>\n

Le projet no-defender a rapidement suscit\u00e9 un engouement sur GitHub, cumulant plus de deux mille \u00e9toiles. Cependant, la soci\u00e9t\u00e9 de d\u00e9veloppement d\u2019antivirus dont le code a \u00e9t\u00e9 r\u00e9utilis\u00e9 a d\u00e9pos\u00e9 une plainte pour violation du Digital Millennium Copyright Act (DMCA)<\/a>. L\u2019utilisateur es3n1n a donc \u00e9t\u00e9 contraint de retirer le code du projet de GitHub, ne laissant qu\u2019une page de description.<\/p>\n

Comment Defendnot a succ\u00e9d\u00e9 \u00e0 no-defender<\/h2>\n

Mais l\u2019histoire ne s\u2019arr\u00eate pas l\u00e0. Pr\u00e8s d\u2019un an plus tard, le programmeur n\u00e9o-z\u00e9landais MrBruh<\/a> a incit\u00e9 es3n1n \u00e0 d\u00e9velopper une version de no-defender qui ne reposait pas sur du code tiers. Pouss\u00e9 par le d\u00e9fi et le manque de sommeil, es3n1n a \u00e9crit un nouvel outil en quatre jours<\/a>, qui a \u00e9t\u00e9 baptis\u00e9 Defendnot.<\/p>\n

Au c\u0153ur de Defendnot se trouvait un fichier DLL factice se faisant passer pour un antivirus l\u00e9gitime. Pour contourner tous les contr\u00f4les de l\u2019API WSC, y compris Protected Process Light (PPL), les signatures num\u00e9riques et d\u2019autres m\u00e9canismes, Defendnot injecte son fichier DLL dans Taskmgr.exe, qui est sign\u00e9 et d\u00e9j\u00e0 consid\u00e9r\u00e9 comme fiable par Microsoft. L\u2019outil enregistre alors le faux antivirus, ce qui entra\u00eene la d\u00e9sactivation imm\u00e9diate de Microsoft Defender et laisse l\u2019appareil sans protection active.<\/p>\n

En outre, Defendnot permet \u00e0 l\u2019utilisateur d\u2019attribuer n\u2019importe quel nom \u00e0 l\u2019 \u00ab\u00a0antivirus\u00a0\u00bb. Comme son pr\u00e9d\u00e9cesseur, ce projet a rencontr\u00e9 un franc succ\u00e8s sur GitHub, avec 2 100 \u00e9toiles au moment de la r\u00e9daction. Pour installer Defendnot, l\u2019utilisateur doit disposer de droits d\u2019administrateur (ce que les employ\u00e9s ont tr\u00e8s probablement sur leurs appareils personnels).<\/p>\n

Comment prot\u00e9ger l\u2019infrastructure de l\u2019entreprise contre l\u2019utilisation abusive du BYOD\u00a0?<\/h2>\n

Defendnot et no-defender se pr\u00e9sentent comme des projets de recherche, les deux outils d\u00e9montrant comment les m\u00e9canismes des syst\u00e8mes de confiance peuvent \u00eatre manipul\u00e9s pour d\u00e9sactiver les fonctions de protection. La conclusion est \u00e9vidente\u00a0: on ne peut pas toujours se fier \u00e0 ce que dit Windows.<\/p>\n

C\u2019est pourquoi, afin de ne pas mettre en p\u00e9ril l\u2019infrastructure num\u00e9rique de votre entreprise, nous vous recommandons de renforcer sa politique BYOD par un certain nombre de mesures de s\u00e9curit\u00e9 suppl\u00e9mentaires\u00a0:<\/p>\n