Cacher un ransomware dans une macro ou un fichier PDF, c’est dépassé. Aujourd’hui, un chercheur en cybersécurité a prouvé qu’on pouvait l’enfouir directement dans le processeur. Presque invisible, difficilement détectable, potentiellement persistante. L’idée fait frémir, même chez les pros.
- Un chercheur en cybersécurité a démontré qu'un ransomware peut maintenant infecter directement le processeur, rendant les détections traditionnelles inefficaces.
- Les failles matérielles exploitables existent, comme celle des puces AMD, rendant les antivirus conventionnels inutiles.
- Malgré sa dangerosité théorique, cette menace souligne notre manque de préparation face aux failles de sécurité basiques.
Dérober vos fichiers, chiffrer votre disque, réclamer une rançon… les ransomwares ont affiné leur méthode au fil des années. Mais à l’occasion de la RSA Conference, un chercheur en cybersécurité a présenté une idée qui repousse toutes les limites connues : infecter directement le processeur. Un scénario longtemps cantonné aux spéculations les plus pessimistes, mais dont il existe désormais une preuve de concept. Et si ce type d’attaque devenait une réalité ? Alors même un formatage ou une réinstallation classique pourrait ne pas suffire à restaurer un système sain.
Un ransomware caché dans le CPU : la preuve que c’est possible
L’idée ne vient pas d’un roman de science-fiction, mais de Christiaan Beek, directeur de la threat analytics chez Rapid7. Partant d’une faille critique découverte dans les puces AMD Zen (CVE-2024-56161), il a développé un ransomware capable de s’exécuter au niveau du microcode, c’est-à-dire dans le cœur même du processeur.
Cette faille, divulguée par des chercheurs de Google, peut permettre à un attaquant disposant des droits admin locaux d’injecter du microcode personnalisé dans le CPU. À ce niveau, il n’existe aucune contre-mesure conventionnelle : l’antivirus ne voit rien, le système d’exploitation est contourné, et même une réinstallation de Windows n’éliminerait pas nécessairement la menace si celle-ci parvenait à s’ancrer de manière persistante. Lors de sa présentation à la RSA Conference, Beek a confirmé avoir écrit un code de démonstration fonctionnel – sans toutefois le publier, pour des raisons évidentes.
Ce qu’il faut comprendre du microcode
Le microcode, c’est la couche bas niveau qui permet au processeur de traduire les instructions du système en actions physiques. En temps normal, il est fourni par le constructeur et mis à jour via des patchs signés. Si un attaquant parvient à le modifier dynamiquement, il peut altérer la logique interne du CPU, sans nécessairement déclencher d’alerte du système ou des outils de sécurité. Dans le cas du PoC présenté, l’injection reste temporaire et disparaît au redémarrage, sauf si des mécanismes d’ancrage firmware sont également compromis.
Ce type de menace reste très théorique aujourd’hui, mais certains signaux indiquent que les cybercriminels explorent déjà des pistes similaires. En 2022, les fuites internes du gang Conti révélaient des discussions sur un ransomware intégré à l’UEFI, le firmware de base des machines, capable d’enclencher le chiffrement avant même que l’OS ne démarre. D’autres outils, comme les bootkits UEFI, circulent déjà sur les forums clandestins depuis plusieurs années. Bref, la frontière entre la théorie et la pratique devient de plus en plus fine.
Un avertissement sur fond d’échec collectif
Ce que dénonce Christiaan Beek, au fond, ce n’est pas seulement le potentiel technique de ce type de menace. C’est notre incapacité collective à corriger les failles les plus basiques. Douze ans après l’apparition de CryptoLocker, le ransomware qui a posé les bases du modèle économique actuel en 2013, les vecteurs d’attaque restent les mêmes : failles critiques non corrigées, mots de passe faibles, absence de double authentification.
Selon lui, l’industrie court après l’innovation – IA, machine learning, automatisation – sans s’assurer que les fondations sont solides. Résultat : même les technologies les plus avancées ne protègent pas d’un mauvais mot de passe ou d’un firmware obsolète. Et pendant ce temps, certains acteurs malintentionnés prennent de l’avance sur des terrains que personne ne surveille encore vraiment.
Ce que révèle ce PoC, c’est aussi une tendance plus large : la porosité croissante entre les couches matérielles et logicielles. Un ransomware qui s’exécute dans le microcode rend caduc le cloisonnement sur lequel reposaient jusqu’ici les défenses. Le BIOS, le système, l’antivirus, l’hyperviseur – tout peut être court-circuité si la menace est implantée assez bas.
L’existence d’un ransomware CPU n’est donc pas une menace imminente, mais un signe avant-coureur, un avertissement sérieux. D’autant que cette démonstration ne concerne pas uniquement les puces AMD : en théorie, d’autres architectures comme ARM, RISC-V ou même les puces Apple Silicon pourraient aussi être ciblées si des vulnérabilités comparables venaient à être découvertes.
En attendant, on continue de rester vigilant et d’appliquer de bonnes pratiques, à savoir verrouiller l’accès au firmware, désactiver les mises à jour non signées, segmenter les droits d’administration. Ce n’est pas suffisant face à une menace logée dans le cœur de la machine. Mais c’est toujours mieux que rien, surtout quand l’ennemi peut désormais agir à un niveau que les systèmes ne surveillent pas.
Source : The Register
