Les failles de sécurité pleuvent ces derniers jours avec la tenue de la conférence Black Hat Europe. La dernière découverte en date est particulièrement agressive puisqu’elle cible des milliers de machines avec une faille quasi indétectable.
J’ai eu pendant longtemps un genre d’attaque de ce style qui mettait en panne mon PC au démarrage. Puis mon laptop aussi. Puis ma voiture. Puis ma Playstation. Puis ma TV. Puis le micro-onde.
J’ai fini par comprendre que j’avais juste une poisse énorme.
7 « J'aime »
Cette faille existe aussi sur Android
Vous dîtes qu’elle est indétectable mais certains antivirus (comme Bitdefender ou Microsoft Defender) proposent de scanner le pc AVANT le démarrage de windows, est ce que un scan de cette nature permet quand même de détecter l’attaque ?
Ben nan, de ce que j’en ai compris, l’attaque se fait avant de lancer le bootloader (ntloader pour windows et grub pour linux) … du coup, l’OS se prend l’attaque en frontal sans aucun moyen d’anticiper la douille.
2 « J'aime »
Quand tu en es à pouvoir modifier l’image de boot d’une machine elle est déjà un peu compromise 
A mon avis la seule utilité de cette méthode c’est l’espionnage/surveillance du pc en catimini une fois l’attaque initiale faite, c’est + un truc de gouvernement
4 « J'aime »
Il faudrait aussi savoir si c’est une attaque qui nécessite un accès physique ou local à l’ordinateur cible ou si elle peut avoir lieu à distance sur internet … Si ça nécessite un accès à la machine à compromettre, ça réduit pas mal les risques quand même …
2 « J'aime »
D’après ce que j’avais pu lire sur UEFI, c’est un os tellement bordélique où chacun y met sa sauce… ça rend impossible à faire confiance pour des implications critiques.
De ce que je comprends, il faut une mise à jour du bios.
Donc c’est tout à fait faisable à distance (ça se fait régulièrement sur les machines de parc), ou juste par une manipulation « volontaire » de l’utilisateur qui récupère un bios / un logo de boot vérolé (via de l’ingénierie sociale par exemple).
Et comme c’est dans le bios, c’est totalement transparent pour l’OS, même le scan au boot ne pourra le voir (ça permet juste de détecter les cochonneries qui se planquent dans Windows lui même). Il faudrait un anti-virus dans l’UEFI. Mais bon un simple hash pour vérifier si le bios a été changé et un blocage des mises à jour BIOS doivent déjà être très efficaces, je suppose que c’est ce qui sera proposé par les constructeurs de carte mère.
Quand tu vois que tous les constructeurs proposent des MAJ de l’UEFI via Windows update et que certains constructeurs se sont faits pirater, on est en droit de se demander si certains (dont des gouvernements) n’ont pas réfléchi à injecter du code malveillant dans des mises à jour de ce type.
On peut même imaginer un virus qui s’attaquerait à Windows update sur le pc et lui ferait charger une mise à jour de l’UEFI vérolée, voire directement les outils constructeurs.
Bref, pas très rassurant quand même.
Windows update est très protégé.
Le souci avec cette attaque, c’est qu’un simple logiciel avec des droits d’utilisateur peut changer l’image de boot. L’uefi est critique mais n’est pas correctement protégé.
Ça touche les PC mais aussi les Linux. Mac est différent, il y a aussi un uefi mais seul Apple y a accès.
–Commentaire valable en France–
Les mairies et peut-être préfectures c’est pour administrer.
Gouverner est bien un truc de gouvernement.
Même une dictature peut avoir beaucoup de démocratie.
Pôle Emploi, là encore c’est un truc qui va avec URSSAF, Prudhomme, contrat de travail et code du travail. Aucune idée de quelle forme ça prend sans que la justice elle même ne soit le gouvernement.
–Commentaire valable partout–
Pour revenir au sujet, c’est étonnant que secureboot et TPM n’ai rien pu faire.
L’accès aux données est flagrant.
Le multiboot va surement se faire bannir.
Je pense qu’il faut plutôt se méfier des « mises à jour » que l’on peut télécharger sur n’importe quel site plutôt que celui du constructeur. C’est comme sur Android, il est possible de télécharger des firmwares non officiels qui sont des modifications de ceux proposés par exemple par Samsung etc et qui peuvent être améliorés.
1 « J'aime »
Concrètement, comme le suggère son petit surnom, LogoFAIL va remplacer l’image de « boot » (le logo du constructeur qui s’affiche une poignée de secondes avant le lancement de Windows) de votre ordinateur par un fichier vérolé. Cela permet d’accéder ensuite à la configuration racine de l’ordinateur, et donc d’intercepter toutes les commandes et toutes les données reçues et stockées sur un PC.
Lors d’une mise à jour B.I.O.S. il est indiqué tout un tas d’information de modification d’eeprom.
J’avais aucune idée que même les constructeurs ne proposant pas l’application pour faire cela, réussisent à fournir un B.I.O.S. vulnérable. Pourtant c’est un truc que j’ai vue que chez ASUS avec FancyStart et il est possible de le désactiver. Cela limite de beaucoup la porté normalement.
La protection en écriture du B.I.O.S. est compromise au plus haut point si cela fonctionne avec l’option désactivé. C’est normalement une zone que l’on n’efface ou réécrit jamais avec FancyStart selon mes souvenirs, seul la mise à jour B.I.O.S. peut y toucher, et encore…
Non, l’attaque se fait d’un prompt ( voir prog. ) admin : https://www.youtube.com/watch?v=EufeOPe6eqk
Dont potentiellement blocable en amont, cad avant qu’il y ait le moindre changement sur le système faillible, mais sain.
La vidéo explique comment l’installer et c’est tout.
Après il fonctionne exactement comme je l’ai expliqué : CàD que l’attaque donne accès à tout le disque sans aucune forme de protection. Il peut supprimer, lire et écrire des fichiers. Mais il n’a pas de réseau. La mise en place d’un programme d’upload silencieux est possible, ainsi ce dernier pourra transmettre des infos collectées une fois l’OS démarré (avec ou sans son antivirus suivant le niveau d’agressivité / discrétion de l’attaque).
En gros, ce mécanisme permet de mettre en place des logiciels malveillants plus ou moins discrets ainsi que de bloquer les défenses de l’OS avant que celui-ci démarre.
Par rapport à la vidéo postée ci-dessus, un binaire d’installation corrompu suffit : du coup, une bête diffusion par mail ferait le job par exemple.
Un simple mot de passe administrateur sur le Bios/EUFI devrait résoudre le problème vu qu’il est demandé à la mise à jour Bios d’un Lenovo.
Chez moi « une attaque » comme vous dites, qui à besoin - d’une validation utilisateur des droits Admin - perd tout son charme.
Et comme je l’ai dit précédemment, détectable / blocable par n’importe quel Antivirus ( une fois dans la base ) à ce moment là !
Dans le cadre d’une attaque de script-kiddies avec 2 mains gauches et 10 pouces, tu as raison.
Dans le cas d’une attaque un peu plus sophistiquée, pour ne pas dire professionnelle, les droits d’admin ne sont pas bien compliqués à obtenir de manière silencieuse … mais bon, il faut savoir faire un programme sans bouton OK. Alors oui, ce type d’attaque est extrêmement dangereuse car aucune protection actuelle n’est en mesure de bloquer ça.
Si tes « certitudes » et ta grande confiance dans les antivirus te permettent de dormir tranquille, grand bien t’en fasse. Pour ma part, je reste dans l’équipe de ceux qui vont privilégier l’OS dont les corrections de sécurité sont publiées avant les autres et mettre à jour quotidiennement (de façon avoir les failles comblées avant même les bases de signature antivirus).
Par contre laisser croire aux gens que les antivirus vont sauver le Q de tout le monde et que cela va les dispenser de faire leur mises à jour système peut être qualifié de criminel ou plus simplement de bullshit de la part de quelqu’un faisant preuve d’un manque criant de culture informatique.