Stéphane Pochet

L’histoire d’un fantôme numérique qui refait surface

C’est une histoire presque ironique, digne d’un roman de science-fiction : un petit morceau de code oublié, destiné à faire fonctionner les modems fax des années 2000, s’est révélé être, en 2025, une porte d’entrée redoutable dans les ordinateurs modernes.

Le pilote fautif, baptisé ltmdm64.sys, provient d’un constructeur désormais disparu — Agere/LSI — et il dormait tranquillement dans les entrailles de Windows depuis près de vingt ans.

Jusqu’à ce qu’un chercheur en sécurité découvre que ce vestige technologique permettait à un attaquant de prendre le contrôle total d’un système, en contournant toutes les protections.

Microsoft a jugé la situation suffisamment sérieuse pour adopter une décision rare : supprimer le pilote du système lors de la mise à jour d’octobre 2025, au lieu de tenter un correctif. Et pour cause : la vulnérabilité est activement exploitéedans la nature.

Le plus surprenant, c’est que même les utilisateurs qui n’ont jamais possédé de modem ou de fax sont concernés.

Un héritage numérique devenu vulnérabilité

Pour comprendre cette faille, il faut remonter à une époque où l’ordinateur était encore connecté au monde par un câble téléphonique. Les modems analogiques permettaient d’envoyer des fax ou de se connecter à Internet via une ligne RTC.

Windows intégrait donc, par défaut, une série de pilotes pour reconnaître ces périphériques.

Parmi eux : ltmdm64.sys, conçu pour gérer les modems Agere/LSI.

Ce composant n’a plus servi depuis des années, mais il est resté présent dans les versions successives du système. Et c’est là que le bât blesse.

Car un pilote, même inactif, reste chargeable en mémoire. Et celui-ci contenait une faille d’élévation de privilèges locale (LPE).

En clair, si un pirate parvient à déposer un programme sur un poste — via un phishing, une macro Word ou une extension malveillante — il peut ensuite exploiter cette faille pour devenir administrateur du système, c’est-à-dire s’attribuer tous les droits possibles.

À ce stade, les portes sont grandes ouvertes : il peut désactiver l’antivirus, masquer sa présence, installer des logiciels persistants, ou encore prendre le contrôle d’autres machines du réseau.

C’est une faille dite “de second étage” : elle ne permet pas d’entrer, mais elle permet de régner une fois à l’intérieur.

Microsoft choisit l’éradication

Habituellement, quand une vulnérabilité est découverte, Microsoft publie un correctif.

Mais cette fois, la firme de Redmond a tranché autrement. Le pilote étant ancien, peu documenté et appartenant à un fournisseur tiers disparu, le corriger aurait été risqué et coûteux.

Résultat : le 14 octobre 2025, le pilote ltmdm64.sys a été purement supprimé des mises à jour Windows.

Tous les systèmes à jour ne le contiennent plus.

Mais pour les organisations qui utilisent encore d’anciens modems fax — dans certaines administrations, hôpitaux ou usines — cela signifie aussi la fin du support matériel.

Un choix assumé par Microsoft : mieux vaut perdre une fonction obsolète que conserver une faille exploitable par les cybercriminels.

Une menace silencieuse pour toutes les entreprises

Contrairement à une attaque spectaculaire diffusée par Internet, cette faille agit dans l’ombre.

Elle nécessite que l’attaquant ait déjà un pied dans le système, mais elle devient alors un levier de puissance dévastateur.

C’est exactement le type de vulnérabilité recherché par les groupes de ransomware ou les opérations d’espionnage (APT) : une brique fiable pour élever leurs privilèges, contourner les défenses, et déclencher l’attaque finale.

Même les machines virtuelles ou les postes administratifs, dépourvus de tout modem, peuvent être touchés, car le pilote est parfois intégré dans les images système réutilisées à grande échelle (VDI, templates SCCM, etc.).

Autrement dit : si le fichier est sur votre disque, vous êtes vulnérable.

Comment savoir si vous êtes exposé ?

La vérification est simple.

Sur Windows, recherchez le fichier suivant :

C:\Windows\System32\drivers\ltmdm64.sys

S’il est présent après la mise à jour d’octobre 2025, votre système n’est pas à jour ou votre image a réintroduit le pilote.

Les entreprises peuvent aussi automatiser la recherche via PowerShell ou leur outil EDR, en interrogeant les événements de chargement de pilotes (DriverLoad) pour détecter tout résidu de ltmdm64.sys.

La remédiation : agir vite et bien

Le mot d’ordre est simple : patcher immédiatement.

Installer les mises à jour cumulatives d’octobre 2025 est la seule manière sûre d’éliminer le pilote.

Pour les environnements où le déploiement est plus lent, des mesures temporaires existent :

• bloquer explicitement le pilote via WDAC (Windows Defender Application Control) ;

• activer HVCI / Memory Integrity, qui empêche le chargement de pilotes non sécurisés ;

• supprimer le pilote du Driver Store via pnputil.

Une fois la correction appliquée, il est recommandé de :

• changer les mots de passe administratifs locaux (via LAPS) ;

• vérifier que l’antivirus et les protections EDR sont actifs ;

• inspecter les traces système pour détecter d’éventuelles persistances.

Les implications réglementaires : un cas d’école NIS2 et DORA

Au-delà du risque technique, cette affaire illustre les nouvelles exigences de conformité européennes.

La directive NIS2, qui s’appliquera dès 2025 à de nombreux secteurs essentiels (énergie, santé, transport, services publics), impose de notifier toute faille de sécurité majeure sous 72 heures.

Le règlement DORA, pour le secteur financier, est encore plus strict : la notification initiale doit être faite dans les 4 à 24 heures.

Même si aucune donnée personnelle n’a fuité, un incident d’élévation de privilèges peut être considéré comme un événement significatif, s’il compromet la continuité ou la disponibilité d’un service.

Les entreprises doivent donc non seulement corriger la faille, mais aussi documenter leurs actions et préparer un rapport pour les autorités compétentes.

Les leçons à tirer : la dette technique, une menace invisible

Cette vulnérabilité agit comme un miroir : elle nous montre le coût caché de notre dette technique.

Chaque ligne de code, chaque pilote oublié, chaque fonction maintenue “pour compatibilité” peut devenir, un jour, un risque de sécurité.

Dans un environnement numérique où tout va vite, il est tentant de conserver les vieilles briques logicielles pour ne pas “casser” la chaîne. Mais cette inertie finit par se payer cher.

En choisissant de supprimer le pilote plutôt que de le corriger, Microsoft envoie un message clair :

le progrès en cybersécurité passe aussi par le nettoyage du passé.

Un avertissement pour l’avenir

Le cas de ltmdm64.sys n’est pas isolé.

Des dizaines de pilotes hérités — pour d’anciens périphériques, cartes réseau ou chipsets — dorment encore dans nos systèmes.

Ils sont rarement audités, souvent signés avec d’anciennes clés, et peuvent représenter autant de portes d’entrée potentielles pour les attaquants.

La solution ?

• Intégrer un inventaire complet des pilotes (Software Bill of Materials, ou SBOM) dans la gestion de la sécurité.

• Activer les protections modernes de Windows (WDAC, ASR, HVCI).

• Nettoyer les images de déploiement et bannir tout composant inutile.

• Mettre en place des tests d’intrusion réguliers pour vérifier l’efficacité des mesures.

En conclusion

Ce que révèle cette affaire, c’est qu’un simple fichier vieux de vingt ans peut encore mettre en péril la cybersécurité mondiale.

Ce n’est pas seulement une histoire technique : c’est un rappel philosophique sur notre rapport au progrès.

L’innovation ne consiste pas seulement à ajouter du nouveau, mais aussi à oser retirer ce qui n’a plus lieu d’être.

Un fax oublié peut paraître anecdotique.

Mais dans le monde numérique, les fantômes du passé savent encore, parfois, faire trembler le présent.