0
On a beaucoup entendu parler des « rootkits » ces derniers temps et selon les dires de certains experts en sécurité... nous n'avons pas fini d'en entendre parler ! Ces petits programmes qui peuvent se dissimuler dans le système sont capables de corrompre facilement et rapidement la stabilité ou le contrôle d'une machine. Ils représentent aujourd'hui dans le monde de l'informatique grand public et professionnel, une menace numérique non-négligeable avec leurs consoeurs virus et spywares. Alors que leur utilisation par des firmes pourtant liées à l'informatique comme Sony ou a provoqué un véritable remue-ménage médiatique, les experts en sécurité se sont alarmés quant à leurs possibles « évolutions ».
L'ACPI rendrait le BIOS vulnérable...
Ainsi, lors de la dernière « Black Hat Federal conference » des chercheurs ont évoqué la possibilité de dissimuler certaines fonctions des rootkits directement dans le Bios des machines. Comme les virus, les rootkits pourraient donc directement s'attaquer à ce petit programme « vital » de nos machines qu'est le Bios.
D'après ces chercheurs, les rootkits pourraient effectivement exploiter l'ASL ( « ACPI Source Language » - langage utilisé pour la programmation de l'ACPI - pour rappel l'ACPI désigne un ensemble de fonctions dédiées à la gestion de l'énergie de l'ordinateur) pour stocker, dans le Bios, certains de leurs éléments clés. L'un de ces chercheurs affirme qu'il a déjà réussi à tester des fonctions basiques comme la possibilité de modifier des privilèges ou de lire certaines parties de la mémoire physique en utilisant des procédures de programmes malicieux qui remplacent des fonctions stockées dans la mémoire Flash liée au Bios. Ce même chercheur prévient alors que : « les rookits vont devenir bien plus qu'une menace banale [...] le Bios est leur prochaine cible [...] Les rootkits actuels ne sont qu'un simple avertissement ... ».
Greg Hoglund, un expert en matière de rootkits va plus loin et affirme : « cela ne prendra pas plus d'un mois avant que des malwares utilisent de telles méthodes (NDLR : attaques liées au Bios) [...] Ceci est facile à réaliser. De nombreux outils liés à la programmation de l'ACPI dans le Bios vont permettre de réaliser cela rapidement ».
Des mesures de protection méconnues ou inexistantes
Pendant cette conférence, les experts en sécurité ont regretté le fait que trop peu de fabricants de Cartes mères / ordinateurs proposent une protection pour désactiver l'écriture dans la mémoire Flash du Bios et que cette protection est généralement désactivée par défaut. Un « cavalier » placé sur les cartes mères permet aussi, parfois, de désactiver l'écriture dans la mémoire Flash. La plupart du temps, ce cavalier est configuré de telle sorte qu'il autorise l'écriture, c'est à l'utilisateur de modifier sa configuration. Mais encore faut-il ouvrir sa machine et savoir comment faire, chose que les utilisateurs de base ignorent la plupart du temps...
L'ACPI rendrait le BIOS vulnérable...
Ainsi, lors de la dernière « Black Hat Federal conference » des chercheurs ont évoqué la possibilité de dissimuler certaines fonctions des rootkits directement dans le Bios des machines. Comme les virus, les rootkits pourraient donc directement s'attaquer à ce petit programme « vital » de nos machines qu'est le Bios.
D'après ces chercheurs, les rootkits pourraient effectivement exploiter l'ASL ( « ACPI Source Language » - langage utilisé pour la programmation de l'ACPI - pour rappel l'ACPI désigne un ensemble de fonctions dédiées à la gestion de l'énergie de l'ordinateur) pour stocker, dans le Bios, certains de leurs éléments clés. L'un de ces chercheurs affirme qu'il a déjà réussi à tester des fonctions basiques comme la possibilité de modifier des privilèges ou de lire certaines parties de la mémoire physique en utilisant des procédures de programmes malicieux qui remplacent des fonctions stockées dans la mémoire Flash liée au Bios. Ce même chercheur prévient alors que : « les rookits vont devenir bien plus qu'une menace banale [...] le Bios est leur prochaine cible [...] Les rootkits actuels ne sont qu'un simple avertissement ... ».
Greg Hoglund, un expert en matière de rootkits va plus loin et affirme : « cela ne prendra pas plus d'un mois avant que des malwares utilisent de telles méthodes (NDLR : attaques liées au Bios) [...] Ceci est facile à réaliser. De nombreux outils liés à la programmation de l'ACPI dans le Bios vont permettre de réaliser cela rapidement ».
Des mesures de protection méconnues ou inexistantes
Pendant cette conférence, les experts en sécurité ont regretté le fait que trop peu de fabricants de Cartes mères / ordinateurs proposent une protection pour désactiver l'écriture dans la mémoire Flash du Bios et que cette protection est généralement désactivée par défaut. Un « cavalier » placé sur les cartes mères permet aussi, parfois, de désactiver l'écriture dans la mémoire Flash. La plupart du temps, ce cavalier est configuré de telle sorte qu'il autorise l'écriture, c'est à l'utilisateur de modifier sa configuration. Mais encore faut-il ouvrir sa machine et savoir comment faire, chose que les utilisateurs de base ignorent la plupart du temps...
