Retour au site
Connexion :
Abonnement NewsletterOk
 

Les rootkits pourraient s'attaquer aux Bios...

Brève Sécurité

On a beaucoup entendu parler des « rootkits » ces derniers temps et selon les dires de certains experts en sécurité... nous n'avons pas fini d'en entendre parler ! Ces petits programmes qui peuvent se dissimuler dans le système sont capables de corrompre facilement et rapidement la stabilité ou le contrôle d'une machine. Ils représentent aujourd'hui dans le monde de l'informatique grand public et professionnel, une menace numérique non-négligeable avec leurs consoeurs virus et spywares. Alors que leur utilisation par des firmes pourtant liées à l'informatique comme Sony ou Symantec a provoqué un véritable remue-ménage médiatique, les experts en sécurité se sont alarmés quant à leurs possibles « évolutions ».

L'ACPI rendrait le BIOS vulnérable...

Ainsi, lors de la dernière « Black Hat Federal conference » des chercheurs ont évoqué la possibilité de dissimuler certaines fonctions des rootkits directement dans le Bios des machines. Comme les virus, les rootkits pourraient donc directement s'attaquer à ce petit programme « vital » de nos machines qu'est le Bios.

D'après ces chercheurs, les rootkits pourraient effectivement exploiter l'ASL ( « ACPI Source Language » - langage utilisé pour la programmation de l'ACPI - pour rappel l'ACPI désigne un ensemble de fonctions dédiées à la gestion de l'énergie de l'ordinateur) pour stocker, dans le Bios, certains de leurs éléments clés. L'un de ces chercheurs affirme qu'il a déjà réussi à tester des fonctions basiques comme la possibilité de modifier des privilèges ou de lire certaines parties de la mémoire physique en utilisant des procédures de programmes malicieux qui remplacent des fonctions stockées dans la mémoire Flash liée au Bios. Ce même chercheur prévient alors que : « les rookits vont devenir bien plus qu'une menace banale [...] le Bios est leur prochaine cible [...] Les rootkits actuels ne sont qu'un simple avertissement ... ».

Greg Hoglund, un expert en matière de rootkits va plus loin et affirme : « cela ne prendra pas plus d'un mois avant que des malwares utilisent de telles méthodes (NDLR : attaques liées au Bios) [...] Ceci est facile à réaliser. De nombreux outils liés à la programmation de l'ACPI dans le Bios vont permettre de réaliser cela rapidement ».

Des mesures de protection méconnues ou inexistantes

Pendant cette conférence, les experts en sécurité ont regretté le fait que trop peu de fabricants de Cartes mères / ordinateurs proposent une protection pour désactiver l'écriture dans la mémoire Flash du Bios et que cette protection est généralement désactivée par défaut. Un « cavalier » placé sur les cartes mères permet aussi, parfois, de désactiver l'écriture dans la mémoire Flash. La plupart du temps, ce cavalier est configuré de telle sorte qu'il autorise l'écriture, c'est à l'utilisateur de modifier sa configuration. Mais encore faut-il ouvrir sa machine et savoir comment faire, chose que les utilisateurs de base ignorent la plupart du temps...
Actu précédente
Brève suivante
Les Commentaires des lecteurs
_
Continuer sur le forum
43 messages
1
2
3
>
 
le 27 Janv. 06 à 16h43
Edition
 
Vincent a écrit:
On a beaucoup entendu parler des « rootkits » ces derniers temps et selon les dires de certains experts en sécurité... nous n'avons pas fini d'en entendre parler ! Ces petits programmes dissimulés dans le système qui peuvent facilement corrompre la stabilité ou le contrôle d'une machine représentent aujourd'hui une menace non-négligeable. Alors que leur utilisation par des firmes pourtant liées à l'informatique comme Sony ou Symantec a provoqué un véritable remue-ménage, les experts en sécurité se sont alarmés quant aux possibles « évolutions » des rootkits.
L'ACPI rendrait le Bios vulnérable...
Ainsi, lors de la dernière « Black Hat Federal conference » des chercheurs ont évoqué la possibilité de dissimuler des rootkits directement dans le Bios des machines. Comme les virus, les rootkits pourraient donc directement s'attaquer à ce petit programme « vital » de nos machines qu'est le Bios.
D'après ces chercheurs, les Rootkits pourraient effectivement exploiter l'ASL (ACPI Source Language - language utilisé pour la programmation de l'ACPI - pour rappel l'ACPI désigne un ensemble de fonctions dédiées à la gestion de l'énergie de l'ordinateur) pour stocker, dans le Bios, certains de leurs éléments clés. L'un de ces chercheurs affirme qu'il a déjà réussi à tester des fonctions basiques comme la possibilité de modifier de privilèges ou de lire certaines parties de la mémoire physique en utilisant des procédures de programmes malicieux qui remplacent des fonctions stockées dans la mémoire Flash liée au Bios. Ce même chercheur prévient alors que : « les Rookits vont devenir bien plus qu'une menace banale [...] le Bios est leur prochaine cible [...] Les Rootkits actuels ne sont qu'un simple avertissement ... ».
Greg Hoglund, un expert en matière de rootkits va plus loin et affirme : « cela ne prendra pas plus d'un mois avant que des malwares utilisent de telles méthodes (NDLR : attaques liées au Bios) [...] Ceci est facile à réaliser. De nombreux outils liés à la programmation de l'ACPI dans le Bios vont permettre de réaliser cela rapidement ».
Des mesures de protection méconnues ou inexistantes
Pendant cette conférence, les experts en sécurité ont regretté le fait que trop peu de fabricants de cartes mères proposent une protection pour désactiver l'écriture dans la mémoire Flash du Bios et que cette protection est généralement désactivée par défaut. Un « cavalier » placé sur les cartes mères permet aussi, parfois, de désactiver l'écriture dans la mémoire Flash. La plupart du temps, ce cavalier est configuré de telle sorte qu'il autorise l'écriture, c'est à l'utilisateur de modifier sa configuration. Mais encore faut-il ouvrir sa machine et savoir comment faire, chose que les utilisateurs de base ignorent la plupart du temps...

Lire cette brève sur le site


mwais :/

crier au loup avec ce genre d'annonce c'est souvent pour se faire de la pub, attendons les premiers cas (si ils arrivent jamais) et ensuite on analysera l'ampleur du problème.
 
le 27 Janv. 06 à 16h57
Edition
 
c_planet a écrit:
mwais  :/

crier au loup avec ce genre d'annonce c'est souvent pour se faire de la pub, attendons les premiers cas (si ils arrivent jamais) et ensuite on analysera l'ampleur du problème.


WAIT and see :jap: ( bonne année chinoise du CHIEN)
 
le 27 Janv. 06 à 16h59
Edition
 
[mode troll on]
si c'est ça nique le bios, sans pc difficile de venir sur internet pour en parler ^^
[mode troll off]
 
Contacter le membreVoir profil
LDB
le 27 Janv. 06 à 17h01
Edition
 
Les experts avaient annoncé une recrudescence (?) des virus sur les messageries instantanées... Et ils n'avaient pas tord...

Il existe déjà des virus aui s'attaquent aux bios (même s'ils sont relativement rares).
 
le 27 Janv. 06 à 17h16
Edition
 
LDB a écrit:
Il existe déjà des virus aui s'attaquent aux bios (même s'ils sont relativement rares).


Exact. je ne vois pas trop en quoi la modif de bios est spécifique aux rootkits. si un virus ne pouvait pas modifier le bios un virus derrière un rootkit ne le pourrait pas non plus. Bref, en gros, on nous annonce que la pluie ça mouille :/
 
le 27 Janv. 06 à 17h23
Edition
 
En meme temps s'il suffit de modifier la position d'un "cavalier" sur la carte mère pour éviter d'avoir des problèmes, ça reste gérable :p
 
le 27 Janv. 06 à 17h38
Edition
 
jonon a écrit:
En meme temps s'il suffit de modifier la position d'un "cavalier" sur la carte mère pour éviter d'avoir des problèmes, ça reste gérable :p

Dis cette phrase à 95% des gens qui ont un PC et il vont te regarder comme ca :heink:
 
le 27 Janv. 06 à 17h50
Edition
 
Pendant cette conférence, les experts en sécurité ont regretté le fait que trop peu de fabricants de cartes mères / ordinateurs proposent une protection pour désactiver l'écriture dans la mémoire Flash du Bios et que cette protection est généralement désactivée par défaut. Un « cavalier » placé sur les cartes mères permet aussi, parfois, de désactiver l'écriture dans la mémoire Flash. La plupart du temps, ce cavalier est configuré de telle sorte qu'il autorise l'écriture, c'est à l'utilisateur de modifier sa configuration.

trop peu de fabricants c'est ca le problème de un et ensuite quand on dit 'Wait and see' c'est amusant quand tu as un parc informatique de plus de 300 machines

 
le 27 Janv. 06 à 17h56
Edition
 
attendons les premiers cas (si ils arrivent jamais) et ensuite on analysera l'ampleur du problème.

Je préfère prévoir que guérir.
 
le 27 Janv. 06 à 18h32
Edition
 
pas tres rassurant tout ça ... et quand on regarde l'avenir : EFI on a de quoi s'inquietter

[TROLL]
je me sens quand meme à l'abris perso sur mon mac, celui ci n'ayant pas de Bios LOL
[/TROLL]
 
le 27 Janv. 06 à 18h35
Edition
 
y'en a mare des pubs sur ce site ..... il gonfle mario ..qu'on lui mette un tuyau où je pense...
 
le 27 Janv. 06 à 18h41
Edition
 
les fabricants n'ont qu'a bloquer le flashage du bios par défaut...
de toute facon les 2% de bidouilleurs ne mettront pas longtemps a faire le deblocage et les 98% de bleus seront proteges.
 
le 27 Janv. 06 à 19h02
Edition
 
c'est intelligent de donner l'idée aux personnes mal intentionnées ... au cas où ils n'auraient pas encore eu celle-ci ...
C'est à se demander à quoi et pour le compte de qui jouent les "experte en sécurité" ...
 
le 27 Janv. 06 à 19h19
Edition
 
jonon a écrit:
En meme temps s'il suffit de modifier la position d'un "cavalier" sur la carte mère pour éviter d'avoir des problèmes, ça reste gérable :p

Toute les cartes mere n'on pas de prtection en ecriture du bios :neutre:
 
le 27 Janv. 06 à 19h22
Edition
 
REMslug a écrit:
c'est intelligent de donner l'idée aux personnes mal intentionnées ... au cas où ils n'auraient pas encore eu celle-ci ...
C'est à se demander à quoi et pour le compte de qui jouent les "experte en sécurité" ...


Réfléchis!!

Cas 1: on ne dit rien, comme ça on ne donne d'idées à personne. Oui sauf que si nous nous avons eu l'idée, les enfoirés qui programment des virus, malware, rootkits y ont pensé aussi. Tout comme dans une classe ou au boulot en réunion, on a parfois une ou des questions cons qui nous viennent à l'esprit et que l'on n'ose pas poser par peur de passer pour un imbécile. Sauf que si nous on y pense, d'autres dans la salle y pensent aussi et seront bien contents qu'on pose nous même la question.

Cas 2: on dévoile l'idée, on met le grand public au courant, méfiez-vous, soyez encore plus sur vos gardes, apprenez à ne pas ouvrir n'importe quel fichier ou installez n'importe quel logiciel, il pourrait contenir une @!#$?* qui bousille votre bios. Là on va peut-être effectivement donner des idées à des cons, créer des vocations de créateur de rootkits mais au moins on ne joue pas à l'autruche, on ne fait pas comme certains ici "Wait and see", autrement dit attendons que des milliers de personnes soient infectées, ne puissent plus se servir de leurs ordinateurs pour nous bouger. :( Ca c'est de l'inconscience!!

Et le fait de généraliser ce genre d'infos va peut-être et même sûrement se faire bouger les constructeurs de cartes mères qui n'ont, au vu de la news, même pas intégré de fonction anti-écriture sur le bios. C'est en mettant l'opinion publique au courant que les choses changent. Si on peut éviter par ce genre d'informations qu'un seul foyer soit épargné par un @!#$?* de rootkit, il faut le faire. Evidemment nous on est au courant, on sait se démerder et ça ne nous touchera certainement jamais mais ce n'est pas une raison parceque nous nous y connaissons qu'il faut laisser les autres sur le carreau. Les autres il faut y penser, parler de ce genre de problème, etc...
 
le 27 Janv. 06 à 19h29
Edition
 
ça va chier
 
le 27 Janv. 06 à 19h33
Edition
 
manycalavera a écrit:
Toute les cartes mere n'on pas de prtection en ecriture du bios  :neutre:
Ca parait quand même assez étonnant... j'ai toujours eu cette protection, même sur ma carte mère pour Pentium 133, je pense qu'elle est présente sur tous les ordinateurs de marque, après peut-être que ça n'existe pas sur les cartes mères bas de gamme, mais après faut pas s'étonner... malheureusement on en a toujours pour son argent. :/
 
le 27 Janv. 06 à 19h35
Edition
 
maitrephilou a écrit:
y'en a mare des pubs sur ce site ..... il gonfle mario ..qu'on lui mette un tuyau où je pense...

Si tu veux faire ce que tu dit. TU as deux solution :

1) 3615 URSULA :love:

2) Ou simplement tu fait comme moi et tu blinde ton navigateur (Firefox [option anti-popup/cookie site d'origine seulement sur ON + Tu fait un clic droit sur les pubs et tu clique "Bloquer images de ads.conneriehumaine.com] + NoScript + Flashblock) :super:

En ce qui concerne les "Wait & See" et les "Barbarians are at the gate !", je dit : "OK, faut pas attendre de se faire couper la jambe avant de la retirer, mais bon c'est pas ce soir que les lecteurs de Clubics vont trouver la parade suprème, hein ?"
 
le 27 Janv. 06 à 19h39
Edition
 
domdom75h a écrit:
Evidemment nous on est au courant, on sait se démerder et ça ne nous touchera certainement jamais mais ce n'est pas une raison parceque nous nous y connaissons qu'il faut laisser les autres sur le carreau. Les autres il faut y penser, parler de ce genre de problème, etc...


je plussois fortement :jap:

et au minimum, leur en parler pour nous éviter la réinstallation de leur machine!

Sinon, si mes souvenirs sont bons, il y avait déjà des virus capables d'effacer le bios (tchernobyl, non?), donc rien de nouveau sous le soleil : la plus grosse faille informatique reste l'utilisateur. Et c'est pour ça qu'il faut informer. :jap:
 
Continuer sur le forum
43 messages
1
2
3
>