Un nouveau pilote Windows empêche le logiciel de modifier le navigateur Web par défaut
Microsoft utilise désormais un pilote Windows pour empêcher les utilisateurs de modifier le navigateur par défaut configuré pour Windows 10 et Windows 11 via un logiciel ou en modifiant manuellement le registre.
Les utilisateurs Windows peuvent toujours modifier leur navigateur par défaut via les paramètres Windows. Cependant, ceux qui ont utilisé un logiciel pour effectuer les modifications sont désormais bloqués par un pilote discrètement présenté aux utilisateurs du monde entier dans le cadre des mises à jour de février pour Windows 10 (KB5034763) et Windows 11 (KB5034765).
Le consultant informatique Christoph Kolbicz était le premier à remarquer le changement lorsque ses programmes, SetUserFTA et SetDefaultBrowser, ont soudainement cessé de fonctionner.
SetUserFTA est un programme de ligne de commande qui permet aux administrateurs Windows de modifier les associations de fichiers via des scripts de connexion et d’autres méthodes. SetDefaultBrowser fonctionne de la même manière mais sert uniquement à modifier le navigateur par défaut dans Windows.
À partir de Windows 8, Microsoft a introduit un nouveau système permettant d’associer les extensions de fichiers et les protocoles URL aux programmes par défaut afin d’éviter qu’ils ne soient altérés par des logiciels malveillants et des scripts malveillants.
Ce nouveau système associe une extension de fichier ou un protocole URL à un hachage spécialement conçu stocké sous les clés de registre UserChoice.
Par exemple, le navigateur Web par défaut attribué au protocole URL HTTPS se trouve sous :
Éditeur de registre Windows version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
« IdProg »= »ChromeHTML »
« Hash »= »N3eikAB1HhI= »
Si le hachage correct n’est pas utilisé, Windows ignorera les valeurs du registre et utilisera le programme par défaut pour ce protocole URL, à savoir Microsoft Edge.
Kolbicz a procédé à l’ingénierie inverse de cet algorithme de hachage pour créer les programmes SetUserFTA et SetDefaultBrowser afin de modifier les programmes par défaut.
Cependant, avec l’installation des mises à jour de Windows 10 et Windows 11 de février, Kolbicz a noté que ces clés de registre sont désormais verrouillées, ce qui génère des erreurs lorsqu’elles sont modifiées en dehors des paramètres Windows.
Par exemple, l’utilisation de l’Éditeur du Registre Windows pour modifier ces paramètres génère une erreur indiquant : « Impossible de modifier le hachage : Erreur lors de l’écriture du nouveau contenu de la valeur ».
Source : BleepingComputer
Après des recherches plus approfondies, Kolbicz a découvert que Microsoft avait introduit un nouveau pilote de filtre Windows (c:\windows\system32\drivers\UCPD.sys) dans le cadre des mises à jour de février.
Source : BleepingComputer
Ce pilote est décrit comme un « pilote de protection du choix de l’utilisateur » et, une fois chargé, empêche la modification directe des clés de registre associées aux associations d’URL HTTP et HTTPS et à l’association de fichiers .PDF.
Les clés de registre associées sont :
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
Il convient de noter que lors des tests de BleepingComputer, le pilote a été déployé sur nos appareils Windows 11 et Windows 10, mais il n’a verrouillé que les clés de registre sur nos appareils Windows 10.
Dans un article de blog, Kolbicz explique que même si vous ne pouvez pas décharger le pilote, vous pouvez le désactiver dans le registre.
« Nous ne pouvons pas simplement décharger ce pilote, MAIS nous pouvons bien sûr le désactiver ! Cela peut être fait par ce one-liner dans un PowerShell élevé suivi d’un redémarrage.
New-ItemProperty -Chemin HKLM:\SYSTEM\CurrentControlSet\Services\UCPD -Nom Début -Valeur 4 -PropertyType DWORD -Force
Cela ramène la fonctionnalité de SetUserFTA, mais nécessite malheureusement des autorisations administratives et un redémarrage. »
Christophe Kolbicz
Cependant, un article de blog de Gunnar Haslinger explique qu’une tâche planifiée « Vitesse UCPD » nouvellement créée sous \Microsoft\Windows\AppxDeploymentClient réactivera automatiquement le service s’il est désactivé.
Source : BleepingComputer
Pour cette raison, la seule façon de désactiver le pilote est de le désactiver via le registre. et supprimer/désactiver la tâche planifiée.
Peut-être lié à la conformité DMA
Kolbicz estime que ce changement pourrait être conforme à la loi européenne sur les marchés numériques (DMA), qui vise à garantir une concurrence loyale et à prévenir les pratiques anticoncurrentielles de la part de six grandes entreprises, connues sous le nom de « gardiens ».
Ces contrôleurs désignés sont Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft, qui avaient jusqu’en mars pour se conformer à la nouvelle réglementation.
En novembre 2023, Microsoft a présenté les modifications à venir sur Windows en mars 2024 pour se conformer à la nouvelle réglementation DMA.
Ces changements comprenaient de nouvelles politiques de navigateur par défaut pour les utilisateurs de l’Espace économique européen (EEE) qui obligent Windows à utiliser le navigateur par défaut des utilisateurs lors de l’ouverture d’un lien plutôt que d’utiliser Microsoft Edge.
« Dans l’EEE, Windows utilisera toujours les paramètres par défaut des applications configurés par les clients pour les types de liens et de fichiers, y compris les types de liens de navigateur standard de l’industrie (http, https) », a expliqué Microsoft.
« Les applications choisissent comment ouvrir le contenu sous Windows, et certaines applications Microsoft choisiront d’ouvrir le contenu Web dans Microsoft Edge. »
Cependant, ce nouveau pilote a également été déployé sur les appareils Windows 10 et Windows 11 aux États-Unis qui ne sont pas tenus de se conformer à la loi DMA, jetant ainsi le doute sur cette théorie.
De plus, même lorsque les paramètres du registre sont verrouillés et que le navigateur par défaut de l’appareil est Google Chrome, Windows a toujours ouvert les liens du système d’exploitation dans Microsoft Edge lors de nos tests.
En 2021, Mozilla a également procédé à une ingénierie inverse du hachage du navigateur par défaut de Windows pour permettre aux utilisateurs de configurer plus facilement Firefox comme navigateur par défaut.
Certains ont émis l’hypothèse que ce changement avait été introduit pour empêcher les navigateurs concurrents de se configurer comme navigateur par défaut en dehors des paramètres Windows. D’autres ont déclaré qu’il aurait pu être ajouté comme fonctionnalité de sécurité pour empêcher les logiciels malveillants de devenir le navigateur par défaut.
BleepingComputer a contacté Microsoft au sujet du verrouillage de ces clés de registre en mars, mais ils ont déclaré qu’ils n’avaient rien à partager pour le moment.
Mise à jour du 7/04/24 : Clarification pour expliquer que manuellement signifiait manuellement via les modifications du registre et réitéré que vous pouvez toujours modifier le navigateur par défaut via les paramètres Windows. Ajout d’informations supplémentaires sur les navigateurs verrouillés ignorés pour les liens du système d’exploitation dans nos tests basés aux États-Unis.