Virtualisation : un malware 100% indétectable ?

Joanna Rutkowska, chercheur en sécurité pour une firme singapourienne, affirme qu'elle serait parvenue à mettre au point un malware capable de tirer parti des capacités de virtualisation des Processeurs et des systèmes d'exploitation récents pour infecter une machine tout en restant totalement indétectable. Elle présentera son prototype le 21 juillet lors d'une conférence à Singapour et le 3 août durant la célèbre « Black Hat », qui réunit à Las Vegas le gratin des hackers, chercheurs et autres spécialistes en réseau et en sécurité informatique.

Baptisé Blue Pill, soit littéralement « pilule bleue », en référence au film Matrix, ce prototype exploite pour le moment Pacifica, la technologie de virtualisation d'AMD et fonctionne sous Windows Vista 64 bits. Selon Rutkowska, sa présentation consistera à démontrer qu'il existe une méthode générique pour insérer du code arbitraire dans le noyau de Vista bêta 2 64 bits, sans tirer parti d'une quelconque faille de sécurité ou erreur de développement. Blue Pill passe donc outre les protections de Vista 64 bits, qui est censé vérifier la signature électronique de tous les composants chargés dans le noyau.

Une fois installé, Blue Pill peut être utilisé à n'importe quelle fin, y compris la prise de contrôle du système. « Votre système avale Blue Pill et se réveille dans la Matrice (...). Tout se passe à la volée (c'est à dire sans redémarrer le système), sans perte de performances et tous les périphériques, comme la carte graphique, sont parfaitement accessibles pour le système d'exploitation, qui s'exécute maintenant depuis une machine virtuelle », indique Joanna Rutkowska sur son blog. Des chercheurs de Microsoft avaient déjà mis au point un programme similaire, mais un redémarrage était nécessaire pour l'installation alors qu'ici, l'infection est instantanée.

Ces effrayantes perspectives seraient, selon elle, rendues possibles grâce à la technologie de virtualisation d'AMD, Pacifica. Tous les systèmes 64 bits pourraient d'ailleurs être concernés, indique-t-elle, sans qu'il soit véritablement possible de détecter la présence de Blue Pill. A moins que... la technologie Pacifica ne comporte des failles, affirme-t-elle ! Elle précise par ailleurs que c'est faute de temps qu'elle n'a pas reproduit ses essais sur des processeurs Intel équipés de Virtual Technology, et invite à entamer une réflexion sur les dangers inhérents à l'implémentation hardware de la virtualisation. Plus d'informations sur son blog, InvisibleThings.