211service.com
Une infection informatique qui ne peut jamais être guérie
Alors que la fabrication d'ordinateurs et d'autres gadgets a migré vers la Chine, une voix paranoïaque occasionnelle a demandé si le pays ne serait pas tenté de préinstaller un logiciel de surveillance. Cela reste une notion farfelue, mais maintenant un hacker français a au moins montré comment une telle porte dérobée pouvait être créée.
Au Chapeau noir conférence sur la sécurité à Las Vegas la semaine dernière, Jonathan Brossard a fait la démonstration d'un logiciel qui peut être caché au plus profond du matériel d'un PC, créant une porte dérobée qui permettrait un accès distant secret sur Internet. Son entrée secrète ne peut même pas être fermée en changeant le disque dur d'un PC ou en réinstallant son système d'exploitation.
L'espionnage informatique parrainé par les entreprises et les gouvernements est un problème croissant et les pirates informatiques utilisent des méthodes de plus en plus sophistiquées pour contourner les remparts de sécurité. Un rapport du Congrès, publié en mars de cette année , a conclu que l'électronique fabriquée en Chine constituait une menace potentielle pour les systèmes de communication américains, mais il n'y a à ce jour aucune preuve de tentative d'espionnage en cachant des outils de surveillance à l'intérieur de nouveaux équipements.
L'outil de porte dérobée de Brossard, surnommé Rakshasa, doit être installé dans la puce BIOS de la carte mère d'un PC, sur laquelle le processeur principal et les autres composants principaux sont montés. La puce BIOS d'un ordinateur contient le premier code, appelé micrologiciel, qu'un ordinateur exécute lorsqu'il est allumé pour démarrer le processus de démarrage du système d'exploitation. Brossard a également découvert qu'il pouvait cacher son code malveillant dans les puces d'autres composants matériels tels que les cartes réseau, et le faire sauter dans le BIOS si nécessaire.
Si quelqu'un met un seul micrologiciel malveillant sur votre machine, il vous possède pour toujours, a déclaré Brossard à un auditoire de pirates et de professionnels de la sécurité informatique de Black Hat.
Lorsqu'un PC sur lequel Rakshasa est installé est allumé, le logiciel recherche une connexion Internet pour récupérer la petite quantité de code dont il a besoin pour compromettre l'ordinateur. Si Rakshasa ne peut pas se connecter à Internet, il ne peut pas fonctionner.
La conception rend Rakshasa encore plus furtif. Pour une porte dérobée de qualité étatique, pensez à Flame ou à Stuxnet, nous voulons un déni plausible, a expliqué Brossard, faisant référence aux logiciels malveillants qui, selon les experts, ont été créés par des pirates informatiques parrainés par le gouvernement. Si vous récupérez à chaque fois sur Internet, nous ne laissons aucune trace sur le système de fichiers.
Le code que Rakshasa récupère est utilisé pour désactiver une série de contrôles de sécurité qui limitent les modifications que le code de bas niveau peut apporter au système d'exploitation de haut niveau et à la mémoire d'un ordinateur. Ensuite, au démarrage du système d'exploitation de l'ordinateur, Rakshasa utilise les pouvoirs qu'il s'est accordés pour injecter du code dans des éléments clés du système d'exploitation. Un tel code peut être utilisé pour désactiver les contrôles utilisateur ou voler des mots de passe et d'autres données à renvoyer à la personne contrôlant Rakshasa.
Lors d'une démonstration sur scène à Black Hat, Brossard a prouvé que son idée fonctionnait en demandant à Rakshasa de démarrer un ordinateur avec Windows 7 installé et de remplacer son authentification par mot de passe. Une personne choisie dans le public a ensuite pu utiliser un mot de passe choisi au hasard pour se connecter au compte administrateur.
Brossard a construit Rakshasa en combinant plusieurs progiciels open source légitimes pour modifier le micrologiciel. Grâce aux efforts des programmeurs qui ont contribué à ces projets, Rakshasa fonctionne sur 230 modèles différents de carte mère, explique Brossard. Cela fonctionne probablement sur de nombreux autres modèles de PC, car il est courant qu'un fabricant utilise le même modèle de carte mère dans de nombreux modèles de PC différents.
Étant donné que Rakshasa ne réside que dans les puces de la carte mère, il est en toute sécurité hors de vue des logiciels antivirus et résistant aux réponses les plus courantes du personnel informatique qui nettoie un PC gravement infecté.
Même si vous changez de disque dur ou de système d'exploitation, vous serez toujours propriétaire, a déclaré Brossard, qui a testé le code que Rakshasa récupère contre une batterie standard de 43 programmes antivirus et a constaté qu'aucun ne l'a signalé comme dangereux. .
Bien sûr, le déploiement de Rakshasa nécessiterait d'avoir accès à la carte mère d'un ordinateur, peut-être dans une usine ou un entrepôt. Un autre scénario d'attaque est que vous achetez une nouvelle carte réseau et que vous vous détournez, a déclaré Brossard, en raison de la façon dont Rakshasa peut sauter d'autres composants dans le BIOS.
Quiconque craignant une attaque de style Rakshasa devrait remplacer le micrologiciel des puces de la carte mère et des autres composants par des versions connues pour être sûres.
L'attaque peut fonctionner sur des PC avec n'importe quel type de processeur, mais la plupart des fonctionnalités standard des cartes mères de PC proviennent d'Intel. Suzy Greenberg, une porte-parole de cette société, a déclaré dans un e-mail que l'article de Brossard était en grande partie théorique, car il ne précisait pas comment un attaquant insérerait Rakshasa dans un système, et ne tenait pas compte du fait que de nombreuses nouvelles puces BIOS ont cryptographiquement code vérifié qui l'empêcherait de fonctionner.
Cependant, Brossard note que cette couche de protection supplémentaire n'est disponible que sur une minorité de PC jusqu'à présent, et qu'une organisation ayant accès à la fabrication ou à la distribution de PC aurait de nombreuses opportunités d'installer un logiciel de style Rakshasa.