Commentaires : Un premier bootkit UEFI pour Linux découvert par des chercheurs, et ce n'est pas rassurant

Voilà qui devrait moucher quelques partisans un peu trop présomptueux. ESET vient de mettre le doigt sur un type de malware encore jamais observé sur Linux, et ça n’a rien d’anodin.

1 « J'aime »

Alors oui, ça peut faire peur … mais c’est surtout l’occasion de rappeler qu’il faut sortir avec toutes les mises à jour (et surtout de le faire quotidiennement).
Pour les plus « barbus », l’utilisation systématique de la dernière version du noyau permet de conserver une avance relative sur les menaces. Bref, comme je le dis sur tous les articles sur les antivirus, Linux oui … mais surtout un Linux à jour ; c’est le plus important.

1 « J'aime »

Linux est en lui-même son propre rempart avec la diversité de ses distributions et des versions de GRUB et du noyau. Le bootkit constitue de lui-même, de son côté, sa propre limite.

1 « J'aime »

"On retiendra néanmoins que sa simple existence remet en question la fiabilité des protections UEFI, pourtant considérées comme une barrière efficace contre ce type de menace. "
Quelle belle phrase surtout précédé de celle-ci :
« BootKitty utilise un certificat auto-signé par l’attaquant, et ne peut donc pas fonctionner si le démarrage sécurisé UEFI est activé. »
La seule « fiabilité » pour l’instant remise en question n’est ni celle de l’UEFI ni celle de Linux (et encore pas toutes les distributions et pas tous les Grub) mais bien une fois de plus celle située entre la chaise et le clavier.
Le démarrage sécurisé de l’UEFI est actuellement activé sur toutes les cartes mères par défaut il faut donc que la « chose » situé entre la chaise et le clavier l’ai sciemment désactivé.

5 « J'aime »

Exact, et Synology fait assez peur avec son noyau antique (3.x ou 4.x).

Je peux pas vous dire en fait j’ai commencé avec Mandraque pour me tourner vers Ubuntu ce qui m’a amené à debian et quelques dérivées suivant les sensibilités des personnes chez qui j’ai installé mais toujours avec des paquets .deb.

Au début du secure boot il fallait effectivement le désactiver pour pouvoir installer n’importe quel linux. Je pense d’ailleurs toujours qu’au départ l’intention de Microsoft était surtout d’empêcher une installation facile de tous les OS open source gratuit puisque la clé à insérer dans le secure boot était payante.
Mais depuis la situation étant ce qu’elle est (on peut avoir des clé gratuites) je pensais que toutes les distributions s’y était mise.

2 « J'aime »

Oui, mais finalement il faut empêcher l’accès physique à la machine…car n’importe qui peut alors accéder au Bios, et modifier ce paramètre…sans laisser de traces car le Bios n’a pas d’historique d accès/logs…si ?

On peut aussi bloquer l’accès au BIOS par mot de passe.
Et certains BIOS ont un log. J’ai ça par exemple sur mon portable :

Après de toute façon, face à un accès physique, la seule protection qui vaille, c’est le chiffrement du stockage.