Stoned, un bootkit plus fort que TrueCrypt

Lors du sommet Black Hat, dédié à la sécurité informatique, le jeune expert Peter Kleissner, âgé seulement de 18 ans, a présenté un bootkit baptisé Stoned, capable de contourner le système de chiffrement TrueCrypt utilisé pour sécuriser une partition ou le système d'exploitation. Le bootkit appartient à la famille du rootkit, c'est-à-dire un système installé sur un ordinateur déjà compromis permettant au hacker de camoufler une passerelle d'intrusion. Le bootkit est alors capable de modifier la zone amorce non chiffrée d'un disque dur et donc d'activer le malware avant même que le système d'exploitation ne soit chargé.

Selon le jeune autrichien M. Kleissner, Stoned serait capable d'infecter toutes les versions 32 bits de Windows depuis Windows 2000 jusqu'à la Release Candidate de Windows 7. Au démarrage, c'est donc le BIOS de la machine qui charge Stoned, lequel démarre à son tour TrueCrypt. Une fois le système d'exploitation lancé, Stoned est alors capable d'installer un ou plusieurs programmes malicieux permettant ainsi de récupérer des informations personnelles de l'utilisateur de la machine. Stoned dispose également d'un système de plugins afin de rajouter plusieurs fonctionnalités comme un outil permettant de pirater le mot de passe du BIOS. Sur son blog personnel M. Kleissner annonce qu'il distribuera le code source de Stoned afin que les programmeurs puissent développer leurs propres plugins. Il déclare : « la meilleure application serait d'installer (un spyware fédéral) afin que les autorités puissent analyser l'ordinateur d'un suspect. Je publierai le code source qui rendra cela possible ».

Dans la mesure où aucun des composants de Windows n'est modifié, Peter Kleissner précise que Stoned ne peut être détecté grâce à un logiciel anti-virus. Pour TrueCrypt, il ne s'agit cependant pas d'une attaque valide car cette dernière nécessiterait que le hacker ait les droits d'accès d'administrateur sur la machine en question ou un accès physique à cette dernière, une situation qui n'est pas garantie par TrueCrypt. Notons également que le système de chiffrement BitLocker Drive Encryption, intégré au sein de Windows Server 2008 et des versions Entreprise, Professionnelle et Intégrale de Vista, offre un mode de protection basé sur la technologie TPM (Trusted Platform Module) qui chiffre l'intégralité du disque dur. Dans un tel cas, si Stoned venait à être introduit au sein de la zone amorce, l'empreinte numérique de cette dernière serait modifiée et le processus de démarrage serait interrompu.