Les rootkits s'en prennent au BIOS

Le par  |  19 commentaire(s) Source : Slashdot

Les rootkits se sont faits connaître du grand public suite à l'incartade de Sony BMG, et ont au passage donné quelques sueurs froides aux professionnels de l'informatique.

Les rootkits se sont faits connaître du grand public suite à l'incartade de Sony BMG, et ont au passage donné quelques sueurs froides aux professionnels de l'informatique. Ces derniers vont avoir de nouvelles raisons de se faire du mouron...

A l'occasion de la Black Hat Federal Conference, qui s'est tenue à Washington, DC, du 23 au 26 janvier, et qui réunit de nombreux intervenants dans le domaine de la sécurité informatique, ont été évoquées de nouvelles perspectives pour l'emploi des fameux rootkits, rendus célèbres par l'éditeur musical Sony BMG voici quelques semaines.

On savait que ces petits logiciels furtifs pouvaient se planquer sur un PC, et favoriser la propagation de programmes malicieux, mais ce qu'on ignorait, c'est qu'ils pourraient aussi oeuvrer à l'échelon du matériel, en infectant par exemple le BIOS (Basic Input Output System).

Ainsi, les fonctions de gestion de l'alimentation électrique, connues sous le nom générique d'ACPI (Advanced Configuration and Power Interface) sont-elles codées dans un langage interprété de haut niveau, dont un rootkit pourrait se servir pour corrompre les données stockées sous forme de mémoire Flash, et altérer, voire interdire, le fonctionnement du PC à son niveau le plus basique. Des recherches ont été lancées sur le sujet, et leurs résultats ne sont guère encourageants. Sauf peut-être pour les pirates...

Par exemple, la firme britannique Next-Generation Security Software, sous la direction de John Heasman, est parvenue à entrer dans la mémoire du BIOS, et à y modifier de façon sensible les données qu'il contenait. Selon Heasman, "les rootkits sont en plein boom, et il serait normal qu'ils finissent par s'attaquer au BIOS; pour l'heure, ce n'est pas encore le cas, mais ce ne peut être exclu dans un avenir proche."

Les menaces s'attaquant aux données stockées en mémoire Flash ne sont pas une nouveauté: on se souvient en effet des virus CIH/Chernobyl, à la fin des années 1990, qui déjà se servaient du langage de haut niveau de l'époque pour créer de nouvelles fonctions ACPI, et ouvrir ainsi des portes aux attaques venues d'Internet.

Selon le PDG d'une firme de "reverse engineering" (ingéniérie inversée) américaine, la menace fera son apparition dans les prochaines semaines, car elle est "facile à mettre en place", et les outils sont "déjà disponibles, et la plupart du temps gratuits: ASL (ACPI Source Language), compilateurs, programmes permettant de charger de la mémoire Flash..."

Tout dépend bien entendu de la propension du matériel à accepter les modifications du BIOS: toutes les cartes mères ne permettent pas de "flasher" un BIOS par une simple opération informatique, mais nécessitent parfois une intervention matérielle. Ceci étant, tout le monde n'est pas d'accord quant au fait que les protections logicielles contre un "flashage" intempestif du BIOS soient efficaces, même si elles sont activées par défaut en usine, et jamais modifiées par l'utilisateur/administrateur du PC concerné. Ainsi, dans l'hypothèse, pas si farfelue que cela, d'un piratage directement chez le fabricant, le ou les rootkits installés dans le BIOS survivraient aux éventuelles réinstallations du système d'exploitation. De même, un employé habile et mal intentionné pourrait fort bien truquer tous les PC de son entreprise, et gagner ainsi un contrôle total sur le réseau local, sans que les opérations de maintenance n'y puissent rien changer.

Un autre détail qui fait froid dans le dos est le fait que ces techniques de piratage concernent toutes les plate-formes: il est ainsi possible d'écrire une porte dérobée sous Windows, dont le code serait implementé sous Linux, par exemple, puisque commandée depuis le BIOS. Ceux qui pratiquent le dual-boot au quotidien, et qui se servent parfois du Pingouin pour dépanner les Fenêtres, ont du souci à se faire...

Ce que toutes ces interventions font surtout apparaître, c'est la nécessité d'affiner les techniques de recherche et d'éradication des rootkits. Scanner un disque dur à la recherche de signatures connues, ou même de processus exagérément actifs, ne suffit plus. Il faudra à l'avenir raisonner en terme d'examen complet d'une machine, tant au niveau de son intégrité matérielle que de ses dispositions logicielles, ce qui rallongera fortement le temps de recherche des menaces.

Mais ce sera là le prix à payer pour notre sécurité. Jusqu'à la prochaine menace...



Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #82853
Ou ai-je déjà vu ça vendredi dernier '
Haaa !!! c'est ici : http://www.clubic.com/actualite-31406-les-rootkits-pourraient-s-attaquer-aux-bios.html
Le #82855
phebus: ou bien le meme jour sur slashdot qui est en source, merci pour ton commentaire "C'etait vraiment tres interessant".
Le #82860
Allez, soyons un zeste optimiste : c'est pour la bonne évolution du monde informatique ! C'est le progrès en marche ! Un 'blem---1soluce... Tout le monde est content et on aura de meilleurs BIOS, de meilleurs hackers/codeurs!
Le #82861
atomusk ->quand j'aurai besoin de ton avis je te sifflerai
Le #82863
d'accord avec atomusk!!!

Tout le monde ne parcourt pas tous les sites de news sur internet. Les nouvelles sont faites pour être diffusées.

par contre les commentaires désobligeants sont fait pour être tus! Hein, phebus.
Le #82864
Cassage en cours ...
Le #82865
+1 phebus!
Je parcours pas forcement tous les jours slashdot ou clubic....

Et sinon l'info c'est ENORME !!!
Mais je voudrais savoir si MS pouvait empecher ces rootkits d'exister'
C'est quoi ' C'est un truc prevu par l'OS ds un but precis'
C'est modifiable '
Ce sera tjs la ds vista'
Dreamer
Anonyme
Le - Editer #82869
Bah surtout que par defaut les acces en ecriture de la FLASH sont autorises sur une carte mere. Y a un jumper a deplacer sur la CM pour les interdire mais personne ne le fait...alors c'est un jeu d'enfant de faire ce que l'on veut ensuite (et ca a toujours ete)
Le #82873
J'ai pas ce jumper sur ma Mobo alors .... jamais entendu parler d'ailleurs...
Le seul qui ait un rapport avec le bios c'est le clear cmos
Dreamer
Le #82874
existe il des logiciels capable d'assurer la sécurité des pc face aux rootkits '
style en temps reel
@+
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]