Les failles de sécurité pleuvent ces derniers jours avec la tenue de la conférence Black Hat Europe. La dernière découverte en date est particulièrement agressive puisqu’elle cible des milliers de machines avec une faille quasi indétectable.
J’ai eu pendant longtemps un genre d’attaque de ce style qui mettait en panne mon PC au démarrage. Puis mon laptop aussi. Puis ma voiture. Puis ma Playstation. Puis ma TV. Puis le micro-onde.
J’ai fini par comprendre que j’avais juste une poisse énorme.
7 « J'aime »
Cette faille existe aussi sur Android
Vous dîtes qu’elle est indétectable mais certains antivirus (comme Bitdefender ou Microsoft Defender) proposent de scanner le pc AVANT le démarrage de windows, est ce que un scan de cette nature permet quand même de détecter l’attaque ?
Ben nan, de ce que j’en ai compris, l’attaque se fait avant de lancer le bootloader (ntloader pour windows et grub pour linux) … du coup, l’OS se prend l’attaque en frontal sans aucun moyen d’anticiper la douille.
2 « J'aime »
Quand tu en es à pouvoir modifier l’image de boot d’une machine elle est déjà un peu compromise 
A mon avis la seule utilité de cette méthode c’est l’espionnage/surveillance du pc en catimini une fois l’attaque initiale faite, c’est + un truc de gouvernement
4 « J'aime »
Il faudrait aussi savoir si c’est une attaque qui nécessite un accès physique ou local à l’ordinateur cible ou si elle peut avoir lieu à distance sur internet … Si ça nécessite un accès à la machine à compromettre, ça réduit pas mal les risques quand même …
2 « J'aime »
D’après ce que j’avais pu lire sur UEFI, c’est un os tellement bordélique où chacun y met sa sauce… ça rend impossible à faire confiance pour des implications critiques.
De ce que je comprends, il faut une mise à jour du bios.
Donc c’est tout à fait faisable à distance (ça se fait régulièrement sur les machines de parc), ou juste par une manipulation « volontaire » de l’utilisateur qui récupère un bios / un logo de boot vérolé (via de l’ingénierie sociale par exemple).
Et comme c’est dans le bios, c’est totalement transparent pour l’OS, même le scan au boot ne pourra le voir (ça permet juste de détecter les cochonneries qui se planquent dans Windows lui même). Il faudrait un anti-virus dans l’UEFI. Mais bon un simple hash pour vérifier si le bios a été changé et un blocage des mises à jour BIOS doivent déjà être très efficaces, je suppose que c’est ce qui sera proposé par les constructeurs de carte mère.
Quand tu vois que tous les constructeurs proposent des MAJ de l’UEFI via Windows update et que certains constructeurs se sont faits pirater, on est en droit de se demander si certains (dont des gouvernements) n’ont pas réfléchi à injecter du code malveillant dans des mises à jour de ce type.
On peut même imaginer un virus qui s’attaquerait à Windows update sur le pc et lui ferait charger une mise à jour de l’UEFI vérolée, voire directement les outils constructeurs.
Bref, pas très rassurant quand même.
Windows update est très protégé.
Le souci avec cette attaque, c’est qu’un simple logiciel avec des droits d’utilisateur peut changer l’image de boot. L’uefi est critique mais n’est pas correctement protégé.
Ça touche les PC mais aussi les Linux. Mac est différent, il y a aussi un uefi mais seul Apple y a accès.
Je pense qu’il faut plutôt se méfier des « mises à jour » que l’on peut télécharger sur n’importe quel site plutôt que celui du constructeur. C’est comme sur Android, il est possible de télécharger des firmwares non officiels qui sont des modifications de ceux proposés par exemple par Samsung etc et qui peuvent être améliorés.
1 « J'aime »
Non, l’attaque se fait d’un prompt ( voir prog. ) admin : https://www.youtube.com/watch?v=EufeOPe6eqk
Dont potentiellement blocable en amont, cad avant qu’il y ait le moindre changement sur le système faillible, mais sain.
La vidéo explique comment l’installer et c’est tout.
Après il fonctionne exactement comme je l’ai expliqué : CàD que l’attaque donne accès à tout le disque sans aucune forme de protection. Il peut supprimer, lire et écrire des fichiers. Mais il n’a pas de réseau. La mise en place d’un programme d’upload silencieux est possible, ainsi ce dernier pourra transmettre des infos collectées une fois l’OS démarré (avec ou sans son antivirus suivant le niveau d’agressivité / discrétion de l’attaque).
En gros, ce mécanisme permet de mettre en place des logiciels malveillants plus ou moins discrets ainsi que de bloquer les défenses de l’OS avant que celui-ci démarre.
Par rapport à la vidéo postée ci-dessus, un binaire d’installation corrompu suffit : du coup, une bête diffusion par mail ferait le job par exemple.
Un simple mot de passe administrateur sur le Bios/EUFI devrait résoudre le problème vu qu’il est demandé à la mise à jour Bios d’un Lenovo.
Chez moi « une attaque » comme vous dites, qui à besoin - d’une validation utilisateur des droits Admin - perd tout son charme.
Et comme je l’ai dit précédemment, détectable / blocable par n’importe quel Antivirus ( une fois dans la base ) à ce moment là !
Dans le cadre d’une attaque de script-kiddies avec 2 mains gauches et 10 pouces, tu as raison.
Dans le cas d’une attaque un peu plus sophistiquée, pour ne pas dire professionnelle, les droits d’admin ne sont pas bien compliqués à obtenir de manière silencieuse … mais bon, il faut savoir faire un programme sans bouton OK. Alors oui, ce type d’attaque est extrêmement dangereuse car aucune protection actuelle n’est en mesure de bloquer ça.
Si tes « certitudes » et ta grande confiance dans les antivirus te permettent de dormir tranquille, grand bien t’en fasse. Pour ma part, je reste dans l’équipe de ceux qui vont privilégier l’OS dont les corrections de sécurité sont publiées avant les autres et mettre à jour quotidiennement (de façon avoir les failles comblées avant même les bases de signature antivirus).
Par contre laisser croire aux gens que les antivirus vont sauver le Q de tout le monde et que cela va les dispenser de faire leur mises à jour système peut être qualifié de criminel ou plus simplement de bullshit de la part de quelqu’un faisant preuve d’un manque criant de culture informatique.
Oui tu as raison, mais là, ça ne mets pas à jour le BIOS UEFI qui est spécifique à chaque carte mère, mais un élément commun à tous les BIOS UEFI dont le traitement se fait au démarrage de la machine avant le démarrage de l’OS.
1 « J'aime »
« sophistiquée », « professionelle », « pas bien compliqués à obtenir », que dire …
Donc il faudrait une seconde attaque pour outrepasser les droits Admin en scred afin de pouvoir executer c’elle là ! Ce qui en l’état n’est pas le cas.
Qu’un truc « pas délogeable » soit chargé avant tout le reste ou qu’un CryptoLocker ai niqué tout tes fichiers c’est la même. Une seule exécution suffit pour te pourrir le système.
Qu’il se reload à chaque boot et qu’il soit pas délogeable ( ce qui reste à prouver ) par les Maj AV ne change rien à l’affaire, le mal est fait !
Je ne laisse donc rien croire aux gens, je ne suis juste pas impressionné, les « virus » de boot ce n’est pas nouveau, c’est presque aussi vieux que le monde info.
Ca doit être ça !