LogoFAIL : cette nouvelle cyberattaque quasi indétectable cible les PC lors de leur démarrage

Corentin Béchade
08 décembre 2023 à 09h44
26
Il faudra sans doute que vous mettiez à jour votre PC bientôt © Hadrian / Shutterstock
Il faudra sans doute que vous mettiez à jour votre PC bientôt © Hadrian / Shutterstock

Les failles de sécurité pleuvent ces derniers jours avec la tenue de la conférence Black Hat Europe. La dernière découverte en date est particulièrement agressive puisqu’elle cible des milliers de machines avec une faille quasi indétectable.

Après Heartbleed et Log4Shell, vous reprendrez bien un peu de panique cyber, non ? LogoFAIL, une faille découverte par la société Binarly et dont le fonctionnement a été détaillé lors de la conférence Black Hat Europe, peut infecter votre machine avec un très haut degré de privilège, se lancer dès le démarrage de votre PC et résister à une réinstallation du système d’exploitation. De quoi faire de gros dégâts en somme.

« Game Over pour la sécurité »

Concrètement, comme le suggère son petit surnom, LogoFAIL va remplacer l’image de « boot » (le logo du constructeur qui s'affiche une poignée de secondes avant le lancement de Windows) de votre ordinateur par un fichier vérolé. Cela permet d’accéder ensuite à la configuration racine de l’ordinateur, et donc d’intercepter toutes les commandes et toutes les données reçues et stockées sur un PC. Plus qu’une seule faille, c’est en fait une grosse vingtaine de bugs qui ont été mis bout à bout pour arriver à créer ce nouveau vecteur d'attaque.

En s’attaquant à l’UEFI (le mini système stocké sur la carte mère censée faire le relai entre le matériel et l’OS installé sur le disque dur), LogoFAIL peut ainsi passer sous les radars de tous les antivirus et autres logiciels d’identification de malware. Petit bonus, puisque le ver est installé directement sur la mémoire de la carte mère, il résiste aussi à une réinstallation complète de la machine.

« Une fois le code arbitraire exécutée lors de la phase de démarrage, c’est game over pour la sécurité de l’ordinateur », explique Binarly, « à partir de là, on obtient un contrôle complet sur la mémoire et le disque dur de la machine infectée, et donc sur le système d’exploitation qui y est installé. »

Des mises à jour qui arrivent

Selon la configuration de l’UEFI sur votre machine, le remplacement de l’image de démarrage peut être plus ou moins aisé. Les PCs qui ont proprement intégré l’outil Intel Boot Guard sont un peu mieux protégés et ne peuvent être infectés qu’en flashant directement le bios. Cependant, d’autres machines (venant d’Acer et de Lenovo surtout) proposent carrément de changer l’image de boot via un petit logiciel installé directement sur Windows, rendant l’exploitation du bug très aisé.

D’après Binarly, la plupart des PCs (HP, Lenovo, Dell, Acer) et des cartes mères (Intel, AMD) sont vulnérables, à des degrés plus ou moins importants. Pour le moment, il est difficile de dire si cette faille a déjà été exploitée par des acteurs malveillants. Cependant, les constructeurs ayant été mis au courant, des mises à jour de l’UEFI devraient arriver rapidement. Ces dernières seront, la plupart du temps, rendues disponibles via l’outil de mise à jour constructeur installé par défaut sur votre ordinateur (souvent surnommé HP/Acer/Intel Driver Update ou Support Assistant).

Source : Binarly via Ars Technica

Corentin Béchade

Corentin Béchade

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur...

Lire d'autres articles

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (26)

dredd
J’ai eu pendant longtemps un genre d’attaque de ce style qui mettait en panne mon PC au démarrage. Puis mon laptop aussi. Puis ma voiture. Puis ma Playstation. Puis ma TV. Puis le micro-onde.<br /> J’ai fini par comprendre que j’avais juste une poisse énorme.
cid1
Cette faille existe aussi sur Android
Pierreonline
Vous dîtes qu’elle est indétectable mais certains antivirus (comme Bitdefender ou Microsoft Defender) proposent de scanner le pc AVANT le démarrage de windows, est ce que un scan de cette nature permet quand même de détecter l’attaque ?
TNZ
Ben nan, de ce que j’en ai compris, l’attaque se fait avant de lancer le bootloader (ntloader pour windows et grub pour linux) … du coup, l’OS se prend l’attaque en frontal sans aucun moyen d’anticiper la douille.
Feunoir
Quand tu en es à pouvoir modifier l’image de boot d’une machine elle est déjà un peu compromise <br /> A mon avis la seule utilité de cette méthode c’est l’espionnage/surveillance du pc en catimini une fois l’attaque initiale faite, c’est + un truc de gouvernement
Pierreonline
Il faudrait aussi savoir si c’est une attaque qui nécessite un accès physique ou local à l’ordinateur cible ou si elle peut avoir lieu à distance sur internet … Si ça nécessite un accès à la machine à compromettre, ça réduit pas mal les risques quand même …
bennukem
D’après ce que j’avais pu lire sur UEFI, c’est un os tellement bordélique où chacun y met sa sauce… ça rend impossible à faire confiance pour des implications critiques.
Nmut
De ce que je comprends, il faut une mise à jour du bios.<br /> Donc c’est tout à fait faisable à distance (ça se fait régulièrement sur les machines de parc), ou juste par une manipulation «&nbsp;volontaire&nbsp;» de l’utilisateur qui récupère un bios / un logo de boot vérolé (via de l’ingénierie sociale par exemple).<br /> Et comme c’est dans le bios, c’est totalement transparent pour l’OS, même le scan au boot ne pourra le voir (ça permet juste de détecter les cochonneries qui se planquent dans Windows lui même). Il faudrait un anti-virus dans l’UEFI. Mais bon un simple hash pour vérifier si le bios a été changé et un blocage des mises à jour BIOS doivent déjà être très efficaces, je suppose que c’est ce qui sera proposé par les constructeurs de carte mère.
sources
Quand tu vois que tous les constructeurs proposent des MAJ de l’UEFI via Windows update et que certains constructeurs se sont faits pirater, on est en droit de se demander si certains (dont des gouvernements) n’ont pas réfléchi à injecter du code malveillant dans des mises à jour de ce type.<br /> On peut même imaginer un virus qui s’attaquerait à Windows update sur le pc et lui ferait charger une mise à jour de l’UEFI vérolée, voire directement les outils constructeurs.<br /> Bref, pas très rassurant quand même.
Aegis
Windows update est très protégé.<br /> Le souci avec cette attaque, c’est qu’un simple logiciel avec des droits d’utilisateur peut changer l’image de boot. L’uefi est critique mais n’est pas correctement protégé.<br /> Ça touche les PC mais aussi les Linux. Mac est différent, il y a aussi un uefi mais seul Apple y a accès.
Core-ias
Feunoir:<br /> A mon avis la seule utilité de cette méthode c’est l’espionnage/surveillance du pc en catimini une fois l’attaque initiale faite, c’est + un truc de gouvernement<br /> –Commentaire valable en France–<br /> Les mairies et peut-être préfectures c’est pour administrer.<br /> Gouverner est bien un truc de gouvernement.<br /> Même une dictature peut avoir beaucoup de démocratie.<br /> Pôle Emploi, là encore c’est un truc qui va avec URSSAF, Prudhomme, contrat de travail et code du travail. Aucune idée de quelle forme ça prend sans que la justice elle même ne soit le gouvernement.<br /> –Commentaire valable partout–<br /> Pour revenir au sujet, c’est étonnant que secureboot et TPM n’ai rien pu faire.<br /> L’accès aux données est flagrant.<br /> Le multiboot va surement se faire bannir.
Squeak
Je pense qu’il faut plutôt se méfier des «&nbsp;mises à jour&nbsp;» que l’on peut télécharger sur n’importe quel site plutôt que celui du constructeur. C’est comme sur Android, il est possible de télécharger des firmwares non officiels qui sont des modifications de ceux proposés par exemple par Samsung etc et qui peuvent être améliorés.
Core-ias
Concrètement, comme le suggère son petit surnom, LogoFAIL va remplacer l’image de « boot » (le logo du constructeur qui s’affiche une poignée de secondes avant le lancement de Windows) de votre ordinateur par un fichier vérolé. Cela permet d’accéder ensuite à la configuration racine de l’ordinateur, et donc d’intercepter toutes les commandes et toutes les données reçues et stockées sur un PC.<br /> Lors d’une mise à jour B.I.O.S. il est indiqué tout un tas d’information de modification d’eeprom.<br /> J’avais aucune idée que même les constructeurs ne proposant pas l’application pour faire cela, réussisent à fournir un B.I.O.S. vulnérable. Pourtant c’est un truc que j’ai vue que chez ASUS avec FancyStart et il est possible de le désactiver. Cela limite de beaucoup la porté normalement.<br /> La protection en écriture du B.I.O.S. est compromise au plus haut point si cela fonctionne avec l’option désactivé. C’est normalement une zone que l’on n’efface ou réécrit jamais avec FancyStart selon mes souvenirs, seul la mise à jour B.I.O.S. peut y toucher, et encore…
Rainforce
TNZ:<br /> Ben nan, de ce que j’en ai compris, l’attaque se fait avant de lancer le bootloader (ntloader pour windows et grub pour linux) … du coup, l’OS se prend l’attaque en frontal sans aucun moyen d’anticiper la douille.<br /> Non, l’attaque se fait d’un prompt ( voir prog. ) admin : https://www.youtube.com/watch?v=EufeOPe6eqk<br /> Dont potentiellement blocable en amont, cad avant qu’il y ait le moindre changement sur le système faillible, mais sain.
TNZ
La vidéo explique comment l’installer et c’est tout.<br /> Après il fonctionne exactement comme je l’ai expliqué : CàD que l’attaque donne accès à tout le disque sans aucune forme de protection. Il peut supprimer, lire et écrire des fichiers. Mais il n’a pas de réseau. La mise en place d’un programme d’upload silencieux est possible, ainsi ce dernier pourra transmettre des infos collectées une fois l’OS démarré (avec ou sans son antivirus suivant le niveau d’agressivité / discrétion de l’attaque).<br /> En gros, ce mécanisme permet de mettre en place des logiciels malveillants plus ou moins discrets ainsi que de bloquer les défenses de l’OS avant que celui-ci démarre.
TNZ
Par rapport à la vidéo postée ci-dessus, un binaire d’installation corrompu suffit : du coup, une bête diffusion par mail ferait le job par exemple.
SauPhi
Un simple mot de passe administrateur sur le Bios/EUFI devrait résoudre le problème vu qu’il est demandé à la mise à jour Bios d’un Lenovo.
Rainforce
TNZ:<br /> l’attaque se fait avant de lancer le bootloader<br /> TNZ:<br /> La vidéo explique comment l’installer et c’est tout.<br /> TNZ:<br /> En gros, ce mécanisme permet de mettre en place des logiciels malveillants plus ou moins discrets ainsi que de bloquer les défenses de l’OS avant que celui-ci démarre.<br /> Chez moi «&nbsp;une attaque&nbsp;» comme vous dites, qui à besoin - d’une validation utilisateur des droits Admin - perd tout son charme.<br /> Et comme je l’ai dit précédemment, détectable / blocable par n’importe quel Antivirus ( une fois dans la base ) à ce moment là !
TNZ
Dans le cadre d’une attaque de script-kiddies avec 2 mains gauches et 10 pouces, tu as raison.<br /> Dans le cas d’une attaque un peu plus sophistiquée, pour ne pas dire professionnelle, les droits d’admin ne sont pas bien compliqués à obtenir de manière silencieuse … mais bon, il faut savoir faire un programme sans bouton OK. Alors oui, ce type d’attaque est extrêmement dangereuse car aucune protection actuelle n’est en mesure de bloquer ça.<br /> Si tes « certitudes » et ta grande confiance dans les antivirus te permettent de dormir tranquille, grand bien t’en fasse. Pour ma part, je reste dans l’équipe de ceux qui vont privilégier l’OS dont les corrections de sécurité sont publiées avant les autres et mettre à jour quotidiennement (de façon avoir les failles comblées avant même les bases de signature antivirus).<br /> Par contre laisser croire aux gens que les antivirus vont sauver le Q de tout le monde et que cela va les dispenser de faire leur mises à jour système peut être qualifié de criminel ou plus simplement de bullshit de la part de quelqu’un faisant preuve d’un manque criant de culture informatique.
TNZ
Oui tu as raison, mais là, ça ne mets pas à jour le BIOS UEFI qui est spécifique à chaque carte mère, mais un élément commun à tous les BIOS UEFI dont le traitement se fait au démarrage de la machine avant le démarrage de l’OS.
Rainforce
TNZ:<br /> Dans le cas d’une attaque un peu plus sophistiquée, pour ne pas dire professionnelle, les droits d’admin ne sont pas bien compliqués à obtenir de manière silencieuse …<br /> «&nbsp;sophistiquée&nbsp;», «&nbsp;professionelle&nbsp;», «&nbsp;pas bien compliqués à obtenir&nbsp;», que dire …<br /> Donc il faudrait une seconde attaque pour outrepasser les droits Admin en scred afin de pouvoir executer c’elle là ! Ce qui en l’état n’est pas le cas.<br /> Qu’un truc «&nbsp;pas délogeable&nbsp;» soit chargé avant tout le reste ou qu’un CryptoLocker ai niqué tout tes fichiers c’est la même. Une seule exécution suffit pour te pourrir le système.<br /> Qu’il se reload à chaque boot et qu’il soit pas délogeable ( ce qui reste à prouver ) par les Maj AV ne change rien à l’affaire, le mal est fait !<br /> Je ne laisse donc rien croire aux gens, je ne suis juste pas impressionné, les «&nbsp;virus&nbsp;» de boot ce n’est pas nouveau, c’est presque aussi vieux que le monde info.<br /> TNZ:<br /> peut être qualifié de criminel ou plus simplement de bullshit de la part de quelqu’un faisant preuve d’un manque criant de culture informatique.<br /> Ca doit être ça !
juju251
Ca marche bien Secure boot, il n’y a pas à dire … <br /> /Troll (ou pas)
TNZ
Pour ta culture perso, étudie un minimum les scénario d’attaque et les moyens mis en oeuvre. Une attaque n’est pas juste l’utilisation d’un virus unique qui va faire tout le travail tout seul.<br /> Et accessoirement, renseigne toi sur les détails (avancés) de fonctionnement des cartes mère, des BIOS UEFI, des loaders d’OS et des noyaux. Une fois que tu auras compris les différentes phases d’une attaque exploitant LogoFAIL, nous pourrons reprendre cette discussion sur la pertinence des antivirus comme seule défense valable ou pas.
Rainforce
juju251:<br /> Ca marche bien Secure boot, il n’y a pas à dire … <br /> Ouaip, rien n’est parfait !<br /> Je pense que ça à quand même bien complexifier les possibilités à ce niveau, quoi qu’on en dise.
cgifl300
Personne n’a demandé comment depuis un code javascript, on arrive à flasher le bios, je ne comprends pas que personne ne s’en rende compte. Il faut absolument passer administrateur de l’appareil pour réaliser ce type d’opération, non ?<br /> C’est un joli effet d’annonce, mais l’article est complètement vide.
XInfernoX
maintenant on vois l’inutilité de secureboot et de tpm, c’est quoi la prochaine variante pour windows 12 ? un cpu avec fonctions IA nécessaires sinon on peut pas l’installer ? j’aimerai pas que cela soit le cas, mais Intel y travail visiblement…
Core-ias
C’est pas moi qui choisi.<br /> Selon toi, qu’est ce qu’il vient en premier ? l’oeuf ou la poule ?<br /> Un besoin «&nbsp;logiciel&nbsp;» ou un «&nbsp;câblage&nbsp;» électronique ?<br /> Je suppose que Intel a développé beaucoup de «&nbsp;maquettes&nbsp;» logiciels sous Linux avant de les porter sous Windows. AMD est toujours resté très académique de circuit avant d’avoir pratiquement les même problèmes qu’Intel.<br /> Donc si l’OS populaire en a besoin, les concepteurs de CPU devront suivrent et s’intégrer.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

IPTV : definition, fournisseurs, SVoD, abonnements, apps, box android, smart TV.... tout savoir IPTV : definition, fournisseurs, SVoD, abonnements, apps, box android, smart TV.... tout savoir