Virtualisation : un malware 100% indétectable ?

Alex
03 juillet 2006 à 18h02
0
00122955-photo-virus-spyware.jpg
Joanna Rutkowska, chercheur en sécurité pour une firme singapourienne, affirme qu'elle serait parvenue à mettre au point un malware capable de tirer parti des capacités de virtualisation des Processeurs et des systèmes d'exploitation récents pour infecter une machine tout en restant totalement indétectable. Elle présentera son prototype le 21 juillet lors d'une conférence à Singapour et le 3 août durant la célèbre « Black Hat », qui réunit à Las Vegas le gratin des hackers, chercheurs et autres spécialistes en réseau et en sécurité informatique.

Baptisé Blue Pill, soit littéralement « pilule bleue », en référence au film Matrix, ce prototype exploite pour le moment Pacifica, la technologie de virtualisation d'AMD et fonctionne sous Windows Vista 64 bits. Selon Rutkowska, sa présentation consistera à démontrer qu'il existe une méthode générique pour insérer du code arbitraire dans le noyau de Vista bêta 2 64 bits, sans tirer parti d'une quelconque faille de sécurité ou erreur de développement. Blue Pill passe donc outre les protections de Vista 64 bits, qui est censé vérifier la signature électronique de tous les composants chargés dans le noyau.

Une fois installé, Blue Pill peut être utilisé à n'importe quelle fin, y compris la prise de contrôle du système. « Votre système avale Blue Pill et se réveille dans la Matrice (...). Tout se passe à la volée (c'est à dire sans redémarrer le système), sans perte de performances et tous les périphériques, comme la carte graphique, sont parfaitement accessibles pour le système d'exploitation, qui s'exécute maintenant depuis une machine virtuelle », indique Joanna Rutkowska sur son blog. Des chercheurs de Microsoft avaient déjà mis au point un programme similaire, mais un redémarrage était nécessaire pour l'installation alors qu'ici, l'infection est instantanée.

Ces effrayantes perspectives seraient, selon elle, rendues possibles grâce à la technologie de virtualisation d'AMD, Pacifica. Tous les systèmes 64 bits pourraient d'ailleurs être concernés, indique-t-elle, sans qu'il soit véritablement possible de détecter la présence de Blue Pill. A moins que... la technologie Pacifica ne comporte des failles, affirme-t-elle ! Elle précise par ailleurs que c'est faute de temps qu'elle n'a pas reproduit ses essais sur des processeurs Intel équipés de Virtual Technology, et invite à entamer une réflexion sur les dangers inhérents à l'implémentation hardware de la virtualisation. Plus d'informations sur son blog, InvisibleThings.
Modifié le 01/06/2018 à 15h36
Sélection Clubic VPN 2019

Les actualités récentes les plus commentées

La Tesla Model 3 perd les faveurs de l'Europe, qui lui préfère la future Renault ZOE 2
Netflix augmente ses tarifs en France dès aujourd'hui
Bill Gates considère que
Un outil destiné aux forces de l'ordre capable de déverrouiller quasiment tous les smartphones
Sommet européen des 20 et 21 juin : objectif zéro émission de gaz à effet de serre d'ici 2050 ?
Une pétition demande à Netflix de déprogrammer Good Omens... une série produite par Amazon
Le Raspberry Pi 4 est là : trois configurations jusqu'à 4 Go de RAM (et un kit desktop)
Le Bitcoin continue sa course folle et dépasse les 10 000$
La mémoire informatique universelle pourrait révolutionner la consommation des data centers
AMD : le Ryzen 7 3800X mettrait à mal les Core i9-9900K d'Intel sur GeekBench
scroll top