Actus

Mise à jour de Vanguard : réduction de la fenêtre d'amorçage

18/12/2025

En bref : nous avons détecté une faille critique sur de nombreuses cartes mères qui permet d'injecter du code sans se faire remarquer. Si votre système est concerné, Vanguard vous invitera à mettre le firmware de votre carte mère à jour via le service VAN:Restriction.

Salutations, les terreurs du classement.

Je suis Mohamed, mais certains d'entre vous me connaissent sous le pseudo ItsGamerDoc sur X. C'est mon tout premier article officiel chez Riot. La brigade anti-triche continue de se donner à fond pour concocter de succulents bannissements servis chauds pour les tricheurs. Mais nous ne sommes pas là pour parler de ça. Aujourd'hui, je vais vous présenter notre nouvelle recette de sécurité qui devrait laisser un goût amer dans la bouche des tricheurs qui implémentent des scripts DMA.

Bon, ça suffit avec les métaphores culinaires. Dans un avenir très proche, Vanguard va renforcer ses vérifications à l'amorçage pour certains joueurs.

Pourquoi, me demanderez-vous. Eh bien, plus tôt dans l'année, nous avons découvert une faille critique sur de nombreux modèles de cartes mères récents. Cette faille permettait d'injecter du code sans se faire remarquer, même lorsque les paramètres de sécurité étaient activés.

Nous vous expliquons tout sur les raisons de ce problème et comment y remédier si vous y êtes confrontés.

Le problème de la chaîne de chargement

Pour comprendre de quoi il retourne, il faut commencer par le commencement : l'amorçage du PC. Lorsque vous allumez votre ordinateur, il dispose d'un accès total et sans restriction à l'entièreté du système et de tout le matériel connecté. Le système commence par charger et exécuter le firmware initial (généralement UEFI), qui initialise à son tour une chaîne de différents matériels, logiciels et programmes de sécurité. Ce n'est qu'après que le contrôle passe au système d'exploitation, ce que nous considérons généralement comme le « vrai ordinateur ».

Le souci, c'est que les composants chargés en amont dans la chaîne disposent de davantage de privilèges, et peuvent impacter les composants chargés plus loin dans la chaîne. Et ça, les développeurs malveillants le savent très bien. Malheureusement, le système d'exploitation sur lequel votre jeu est exécuté se charge presque à la fin de la chaîne. Ce qui veut dire que les logiciels malveillants peuvent charger avant, profiter d'un meilleur privilège et se dissimuler dans le système avant le lancement du système d'exploitation ou quelque logiciel que ce soit qui pourrait justement empêcher ça.

Heureusement, des fonctions de sécurité telles que Secure Boot, VBS et IOMMU existent déjà pour limiter la casse. Dans la majorité des cas, ces fonctions sont suffisamment efficaces pour contrer ce genre d'attaque, à partir du moment où elles sont actives et fonctionnent correctement.

La stratégie de Vanguard consiste à créer un périmètre autour du noyau Windows pour s'assurer que le système n'a pas été compromis en début de chaîne. Si un logiciel malveillant se charge avant Vanguard, il peut parfaitement se cacher là où on ne le trouvera jamais. Il pourra alors agir à sa guise et semer le chaos dans vos jeux comme bon lui semble, et ce n'est pas ce qu'on veut.

La découverte : le videur endormi

Nous venons de voir qu'il existe différentes fonctions de sécurité qui font du bon boulot (quand elles peuvent le faire). Penchons-nous particulièrement sur IOMMU.

Des années durant, la forme de triche la plus efficace (et coûteuse) consistait à utiliser des appareils DMA (accès direct à la mémoire).

Les cartes DMA sont des appareils qui se branchent à votre PC et accèdent directement à sa mémoire, sans passer par le processeur ni Windows. Afin d'éviter ça, nous utilisons une fonction matérielle appelée IOMMU (unité de gestion de mémoire entrante-sortante). Voyez l'IOMMU comme un videur de boîte de nuit : il vérifie l'identité de chacun des appareils qui tentent d'accéder à votre mémoire et dégage ceux qui ne sont pas sur la liste.

La Protection DMA pré-amorçage est une fonction de sécurité présente dans le bios/firmware de nombreux appareils qui permet d'utiliser l'IOMMU pour éviter les DMA malveillants d'accéder à la mémoire d'un système en amont de la chaîne d'amorçage. C'est ce qui permet d'assurer au système d'exploitation chargé qu'il a été initialisé avec une bonne intégrité. Ce qui est super. Sur le papier... Car ça implique que le système d'exploitation doit faire confiance à la fonction de sécurité.

Et c'est ça qu'ont mis au jour les recherches de l'équipe Vanguard. Dans certains cas, les firmwares de fabricants de matériel signalaient au système d'exploitation que cette fonction était totalement active, alors que l'IOMMU ne s'initialisait pas correctement au début de l'amorçage.

Ce qui veut dire que les paramètres de Protection DMA pré-amorçage semblaient activés dans le BIOS, mais que l'implémentation matérielle sous-jacente ne lançait pas totalement l'IOMMU durant les premières secondes d'amorçage. En résumé, le videur du système donnait l'impression de faire son boulot, mais il était en réalité en train de ronfler dans son fauteuil. Donc au moment où le système était totalement chargé, il ne pouvait pas être totalement sûr qu'aucun code malveillant n'avait été injecté via le DMA.

Cette fenêtre, très courte, est tout ce dont un matériel malveillant moderne a besoin pour s'infiltrer, injecter du code et se cacher avant que Vanguard ne s'active.

La solution : une mise à jour unifiée

Plus tôt dans l'année, nous avons partagé les résultats de nos recherches avec nos partenaires matériel, qui se sont montrés très compétents en acceptant de prendre en compte le problème et en proposant des mises à jour de BIOS complètes pour y remédier.

D'ailleurs, vous pouvez retrouver les conseils de sécurité de fabricants de matériel ici :

Case VU#382314
Asus Security Advisory (CVE-2025-11901)
Gigabyte Security Advisory (CVE-2025-14302)
MSI Security Advisory (CVE-2025-14303)
Asrock Security Advisory (CVE-2025-14304)

Ces mises à jour permettent de vous assurer que vos fonctions de sécurité s'activent à la milliseconde où vous allumez votre ordinateur.

Que faire si je rencontre une Restriction ?

Le système VAN:Restriction est mis en place par Vanguard pour signaler que nous ne pouvons garantir l'intégrité du système, car les fonctions de sécurité que nous venons de voir sont désactivées. Ce système vous empêche de lancer VALORANT, et affiche une fenêtre contextuelle indiquant la marche à suivre pour pouvoir jouer à nouveau. Ces restrictions s'appliquent au niveau du compte ou de l'identifiant matériel lorsque nous détectons un comportement matériel suspect ou des anomalies statistiques. Ces anomalies peuvent se produire pour plusieurs raisons, notamment lorsque les fonctions de sécurité sont désactivées, ou en l'occurrence, lorsque la nouvelle faille de pré-amorçage que nous avons découverte et qui outrepasse l'IOMMU est détectée. L'apparition d'un de ces avertissements ne signifie pas forcément que nous vous suspectons de tricher, mais que votre configuration système actuelle est trop similaire à celles des tricheurs qui contournent les fonctions de sécurité pour ne pas se faire remarquer par Vanguard.

Cette base de sécurité est primordiale pour contrecarrer les tricheurs. Si vous êtes face à une restriction, vous serez invité·e à activer les fonctions mentionnées ou à mettre à jour le firmware de votre carte mère en suivant les instructions officielles du fabricant concerné pour pouvoir jouer. Plus d'informations sur les restrictions sur cette page du Support.

De plus, nous envisageons d'implémenter cette option de sécurité à tous les joueurs de paliers Ascendant et plus afin d'assurer l'intégrité du sommet du classement.

L'objectif

Nous sommes d'accord, donner les chiffres des comptes que nous bannissons est probablement plus représentatif de nos efforts contre la triche, mais les mises à jour de BIOS sont tout aussi importantes. En corrigeant cette faille de pré-amorçage, nous neutralisons totalement toute une catégorie d'options auxquelles ont recours les tricheurs et nous augmentons grandement le coût nécessaire pour tricher.

Tout ce processus représente une grande victoire, non seulement pour notre système anti-triche, mais aussi pour tout le secteur du gaming. Si nous n'avions pas agi, ce problème aurait totalement ignoré toutes les technologies de détection et de prévention DMA du secteur, y compris celles d'autres entreprises de jeux. Cela est dû au fait que ce genre de scripts est exécuté de manière à éviter les systèmes de détection habituels.

Si vous voulez prendre les devants et vous concentrer uniquement sur votre montée au classement, vous pouvez déjà mettre à jour votre carte mère avec le dernier firmware en vous rendant sur le site web du fabricant. Améliorer les processus de sécurité du gaming de manière générale est au cœur de nos préoccupations depuis 2021. C'est aujourd'hui toute la branche du jeu vidéo qui accepte de mettre en place ces mesures de sécurité rigoureuses, comme on peut le lire dans cet article de Xbox : Building a Trusted Gaming Future: How Security Powers Fair Play. Il s'agit là des bases de la sécurité à implémenter obligatoirement pour lutter contre la triche. Nous sommes fiers d'avoir ouvert la voie de ces avancées technologiques sur la sécurité, et nous nous engageons à poursuivre nos efforts pour proposer un environnement compétitif sain et équitable à tous les joueurs.

Le décor est planté pour une nouvelle année de VALORANT.

Plus de 5 millions de dollars récoltés par le Riot Games Social Impact Fund seront distribués à des associations du monde entier en fonction des votes obtenus.

13/11/2025