badBIOS : le rootkit qui infecte les BIOS et communique par les airs,

Windows, OS X, Linux et BSD sont tous vulnérables

badBIOS, le rootkit qui infecte les BIOS et communique par les airs
Windows, OS X, Linux et BSD sont tous vulnérables.

L'expert en sécurité canadien Dragos Ruiu est victime depuis quelques années des turpitudes d'un rootkit inconnu (qu'il a surnommé badBIOS) particulièrement coriace et évolué.

Il y a trois ans, Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…

Les machines refusaient de démarrer sur autre chose que le disque principal et, beaucoup plus étrange, avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés ! Le plus inquiétant étant que le rootkit semblait même résister à une réinitialisation complète (firmware compris).

L'affaire commence à être tirée au clair depuis environ un mois lorsque Ruiu remarqua qu'une machine neuve fut infectée après l'insertion d'une clé USB (à l'image de Stuxnet). Le fonctionnement de badBIOS est encore mal compris, mais l'hypothèse la plus probable est que le microcontrôleur de la clé USB a été reprogrammé pour injecter directement une version minimale de badBIOS dans le firmware. La machine infectée va télécharger une version du rootkit adaptée à son système (Windows, OS X, Linux ou BSD), puis contamine ensuite les autres machines du réseau. Les machines infectées forment alors un ensemble s'assurant mutuellement que le rootkit reste opérationnel, annulant toute tentative de neutralisation.

Une machine infectée ne démarre que sur son disque principal pour compliquer encore l'élimination de badBIOS et, au cas où ses interfaces réseaux sont désactivées, le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.

Bien que surréalistes, les faits constatés par l'expert canadien ont été confirmés par Alex Stamos, cofondateur de iSEC Partners, et par Jeff Moss, créateur des conférences BlackHat et Defcon.

L'expert canadien ne sait toutefois pas si badBIOS a été introduit dans son laboratoire par internet ou si une de ses clés USB avait été trafiquée. Quoiqu'il en soit, d'après ses propres dires, l'intrusion dont il a été victime définirait un nouvel état de l'art. Les investigations continuent.

Source : Ars Technica

Et vous ?

Que pensez-vous de ce niveau de sophistication ?

Qui pourrait être à l'origine d'une telle arme numérique ?

La norme USB est-elle fondamentalement vulnérable ?