Comment empêcher les applications de désactiver Microsoft Defender sous Windows
Récemment, une application nommée Defendnot a montré comment des applications tierces peuvent utiliser des fonctions légitimes de Windows pour désactiver Microsoft Defender. Bien que cette application soit principalement à des fins de recherche, elle soulève des inquiétudes quant à la possibilité qu’une fonction légitime puisse être exploitée par des programmes malveillants pour désactiver la protection de Windows. Ce guide montre comment vous pouvez protéger votre PC contre les applications tirant parti de cette vulnérabilité.
Comment les applications peuvent désactiver Microsoft Defender
Microsoft Defender passe automatiquement en mode passif dès qu’il détecte un autre antivirus enregistré, arrêtant les analyses et les défenses pour éviter les conflits. Bien que cette fonctionnalité soit destinée à des produits légitimes, elle permet également aux logiciels malveillants de désactiver Microsoft Defender.
Defendnot exploite cela en rétro-ingénierie l’API du Centre de sécurité Windows, protégée par un NDA et non documentée. Il injecte sa DLL dans Taskmgr.exe (un processus de confiance) pour s’enregistrer sous un nom d’antivirus usurpé, forçant Microsoft Defender à se mettre hors ligne. Au moment de la rédaction de cet article, Microsoft Defender considère maintenant Defendnot comme un cheval de Troie, mais des astuces similaires pourraient encore laisser votre PC vulnérable. Voici quelques moyens de vous défendre :
Activer la protection contre les falsifications dans Windows
La protection contre les falsifications est la principale fonctionnalité de Windows qui protège les fonctions de sécurité de Windows contre les modifications tierces. Lorsqu’elle est activée, elle empêche les scripts ou les modifications du registre de modifier les principales fonctionnalités de sécurité de Windows, en particulier celles de Microsoft Defender. Vous pouvez toujours modifier les paramètres à l’aide de Windows Security, mais aucune manipulation externe.
Les programmes malveillants qui désactivent Microsoft Defender dépendent souvent de la désactivation de la protection contre les falsifications. S’assurer qu’elle est activée est un bon moyen de garantir la sécurité de votre PC.
Voici comment vous assurer qu’elle est activée :
Recherchez « sécurité Windows » dans la recherche Windows et ouvrez l’application Sécurité Windows.
Cliquez sur Protection contre les virus et menaces dans le panneau de gauche, puis cliquez sur Gérer les paramètres sous Paramètres de protection contre les virus et menaces.
Ici, assurez-vous que Protection contre les falsifications est activée.
Ne pas exécuter d’applications inconnues en tant qu’administrateur
Toute application qui peut s’enregistrer comme un antivirus nécessitera un accès administrateur, peu importe la faille qu’elle utilise. C’est également vrai pour l’application Defendnot ; vous devez approuver l’invite UAC pour désactiver Microsoft Defender. L’accès administrateur ne doit être donné qu’aux applications que vous trustez et qui ont réellement besoin de faire quelque chose au niveau système.
La plupart des applications ne nécessitent un accès administrateur que lors de leur installation, et jamais par la suite. Certaines applications qui interagissent avec les paramètres système peuvent demander un accès admin uniquement lorsque vous utilisez cette fonction spécifique. Si une application inconnue qui ne change même pas les paramètres système demande un accès administrateur, il vaut mieux refuser l’invite.
Mieux encore, vous devriez passer à un compte standard car c’est plus sûr. Lorsqu’un compte est infecté, un compte administrateur sera capable de désactiver Microsoft Defender, tandis qu’un compte standard nécessitera le mot de passe du compte admin pour confirmer le changement.
Utiliser un autre logiciel antivirus
Le comportement consistant à désactiver la sécurité lorsqu’un autre antivirus est détecté est exclusif à Microsoft Defender. Puisque Microsoft Defender est un système de sécurité intégré, il est configuré pour se désactiver afin de permettre l’installation d’autres programmes antivirus. Cependant, les programmes antivirus tiers ne suivent pas cette règle, car deux programmes antivirus peuvent entrer en conflit, donc il est attendu que les utilisateurs n’installent pas plus d’un antivirus.
Si vous avez déjà un logiciel antivirus tiers en place, une installation de faux antivirus ne le désactivera pas ; ils fonctionneront simplement côte à côte. Heureusement, même les programmes antivirus gratuits d’aujourd’hui offrent une protection plus forte que Microsoft Defender. Vous pouvez simplement installer un antivirus gratuit et vous n’aurez pas à vous soucier d’un faux antivirus le désactivant.
Le conseil de base de ne pas utiliser de programmes non fiables ou au moins de ne pas donner d’accès admin devrait vous protéger contre de telles attaques. En plus de ces méthodes de protection, vous devriez également vous assurer que Windows est à jour, car Microsoft corrige souvent de telles vulnérabilités dans les dernières mises à jour de Windows.
