Les rootkits se sont faits connaître du grand public suite à l'incartade de Sony BMG, et ont au passage donné quelques sueurs froides aux professionnels de l'informatique. Ces derniers vont avoir de nouvelles raisons de se faire du mouron...

A l'occasion de la Black Hat Federal Conference, qui s'est tenue à Washington, DC, du 23 au 26 janvier, et qui réunit de nombreux intervenants dans le domaine de la sécurité informatique, ont été évoquées de nouvelles perspectives pour l'emploi des fameux rootkits, rendus célèbres par l'éditeur musical Sony BMG voici quelques semaines.

On savait que ces petits logiciels furtifs pouvaient se planquer sur un PC, et favoriser la propagation de programmes malicieux, mais ce qu'on ignorait, c'est qu'ils pourraient aussi oeuvrer à l'échelon du matériel, en infectant par exemple le BIOS (Basic Input Output System).

Ainsi, les fonctions de gestion de l'alimentation électrique, connues sous le nom générique d'ACPI (Advanced Configuration and Power Interface) sont-elles codées dans un langage interprété de haut niveau, dont un rootkit pourrait se servir pour corrompre les données stockées sous forme de mémoire Flash, et altérer, voire interdire, le fonctionnement du PC à son niveau le plus basique. Des recherches ont été lancées sur le sujet, et leurs résultats ne sont guère encourageants. Sauf peut-être pour les pirates...

Par exemple, la firme britannique Next-Generation Security Software, sous la direction de John Heasman, est parvenue à entrer dans la mémoire du BIOS, et à y modifier de façon sensible les données qu'il contenait. Selon Heasman, "les rootkits sont en plein boom, et il serait normal qu'ils finissent par s'attaquer au BIOS; pour l'heure, ce n'est pas encore le cas, mais ce ne peut être exclu dans un avenir proche."

Les menaces s'attaquant aux données stockées en mémoire Flash ne sont pas une nouveauté: on se souvient en effet des virus CIH/Chernobyl, à la fin des années 1990, qui déjà se servaient du langage de haut niveau de l'époque pour créer de nouvelles fonctions ACPI, et ouvrir ainsi des portes aux attaques venues d'Internet.

Selon le PDG d'une firme de "reverse engineering" (ingéniérie inversée) américaine, la menace fera son apparition dans les prochaines semaines, car elle est "facile à mettre en place", et les outils sont "déjà disponibles, et la plupart du temps gratuits: ASL (ACPI Source Language), compilateurs, programmes permettant de charger de la mémoire Flash..."

Tout dépend bien entendu de la propension du matériel à accepter les modifications du BIOS: toutes les cartes mères ne permettent pas de "flasher" un BIOS par une simple opération informatique, mais nécessitent parfois une intervention matérielle. Ceci étant, tout le monde n'est pas d'accord quant au fait que les protections logicielles contre un "flashage" intempestif du BIOS soient efficaces, même si elles sont activées par défaut en usine, et jamais modifiées par l'utilisateur/administrateur du PC concerné. Ainsi, dans l'hypothèse, pas si farfelue que cela, d'un piratage directement chez le fabricant, le ou les rootkits installés dans le BIOS survivraient aux éventuelles réinstallations du système d'exploitation. De même, un employé habile et mal intentionné pourrait fort bien truquer tous les PC de son entreprise, et gagner ainsi un contrôle total sur le réseau local, sans que les opérations de maintenance n'y puissent rien changer.

Un autre détail qui fait froid dans le dos est le fait que ces techniques de piratage concernent toutes les plate-formes: il est ainsi possible d'écrire une porte dérobée sous Windows, dont le code serait implementé sous Linux, par exemple, puisque commandée depuis le BIOS. Ceux qui pratiquent le dual-boot au quotidien, et qui se servent parfois du Pingouin pour dépanner les Fenêtres, ont du souci à se faire...

Ce que toutes ces interventions font surtout apparaître, c'est la nécessité d'affiner les techniques de recherche et d'éradication des rootkits. Scanner un disque dur à la recherche de signatures connues, ou même de processus exagérément actifs, ne suffit plus. Il faudra à l'avenir raisonner en terme d'examen complet d'une machine, tant au niveau de son intégrité matérielle que de ses dispositions logicielles, ce qui rallongera fortement le temps de recherche des menaces.

Mais ce sera là le prix à payer pour notre sécurité. Jusqu'à la prochaine menace...



Source : Slashdot