Ils ont inventé le virus de BIOS
Malgré toutes les protections que l'on peut prendre, antivirus, antispyware, pare-feu, pattes de lapin, gousses d'ail, etc. personne n'est à l'abri d'une infection de son ordinateur. Certaines sont d'ailleurs suffisamment résistantes pour que l'on ne sache plus comment s'en débarrasser. La seule solution est alors de "tout reformater et réinstaller Windows".
Oui, mais, si un jour cela ne suffisait plus ? Si le programme malveillant résistait, persistait, même après l'incantation ultime "format c:" ? C'est le cauchemar que nous promettent deux chercheurs en sécurité informatique. Anibal Sacco et Alfredo Ortega de la société Core Security Technologies ont expliqué qu'ils pouvaient installer dans un BIOS un bout de code résident, qui survivrait à n'importe quelle réinstallation ou même flashage.
« Nous pouvons mettre le code où nous voulons. Nous n'utilisons pas une vulnérabilité [du système d'exploitation]. [...] Nous pouvons réinfecter le BIOS à chaque fois qu'il reboot. » a précisé Ortega.
La méthode d'infection a été testée et fonctionne sur des PC Windows, OpenBSD ou même au travers d'une machine virtuelle VMWare. Tempérons néanmoins la portée de cette découverte puisque pour le moment l'installation du code malveillant dans le BIOS nécessite soit d'avoir les privilèges d'administrateur de la machine, soit un accès physique à l'ordinateur. Ne coupez donc pas votre accès à Internet tout de suite ! Mais bien sûr il est facile de penser que les recherches se poursuivront. Ortega ajoute d'ailleurs :
« Nous pouvons patcher un pilote afin qu'il installe un rootkit totalement fonctionnel. Nous avons même un petit programme qui supprime ou désactive les antivirus. »
Rappelons que les recherches sur les BIOS rootkits ont commencé il y a quelques années. Elles visaient au départ à prendre avantage de la gestion ACPI, qui utilisent des pilotes peu protégés. L'infection était alors facilement bloquée pour peu que la carte mère exige une manipulation des jumpers pour flasher le BIOS, où exige un BIOS signé, plus difficile à reproduire. Il faut encore rendre l'infection transmissible à tous les BIOS et pas seulement à certaines cartes mères. Espérons qu'avant que toutes ces recherches n'aboutissent et ne filtrent dans des mains malintentionnées, les PC auront abandonné les BIOS au profit des EFI.
- Developpement,
- Autres,
- virus ,
- rootkit ,
- BIOS
- Des images de Windows Mobile 7
- Comparatif d'alims de 500 à 799 Watts
- Canon EOS 500D : 15 MPix, vidéo Full HD, 900€
- Windows Home Server Power Pack 2
- Cloud Gaming : une réalité avec OnLive ?
- Des Mac dans de plus en plus d’entreprises
- Sharp va faire des écrans OLED ?
- Développer sur PS3 : c’est pas cher !
- GlobalFoundries promet du 32 nm en 2010
- Le marché des cartes mères va mal
- Les Radeon HD 4890 lancées dès le 2 avril
- Une Geforce GTX 295 v2 pour le mois de mai
- [MAJ] Carmack parle de Wolf3D pour iPhone
- La TV sur l'iPhone chez Orange
- Un Eee PC 900 avec SSD JMicron
- Microsoft passera au 64 bits pour Office 14
- Un million d'internautes chez Numéricable
- Des SSD PATA, SLC, MLC chez PhotoFast
C'est peut etre idiot ce que je vais dire mais bon... le bios étant vraiment tres simple par rapport à l'EFI, ne serait-ce pas plus facile d'infecter un EFI qu'un bios?
Pas forcément, ça veut aussi dire qu'on peut mieux le protéger.
C'est une éternelle course-poursuite de toute manière, aucun système n'est infaillible.
Sauf que j'vois pas comment on peut resister a l'effacement du bios... si on le reflash a partir d'un autre PC c'est niqué. Puis y'a deja des machines à deux bios
Je croit que ce genre de virus qui se loge dans le BIOS à déjà vu le jours il y a longtemp, cf tchernobyl ou emperor, je ne me souviens plus bien
Lorsque tu reflashes tu ne reflashes pas forcément tout. Le BIOS est constitué de différents modules, et leur code est prévu pour se nicher dans les plus basiques, qui ne sont généralement pas mis à jour.
Je croit que ce genre de virus qui se loge dans le BIOS à déjà vu le jours il y a longtemp, cf tchernobyl ou emperor, je ne me souviens plus bien
Oui Chernobyl a été le premier. Et depuis les BIOS sont un peu plus protégés en écriture.
Ya des virus qui se mettent dans les modules de mémoire aussi non ?
ou serait l'intérêt? la mémoire vive est effacée dès la mise hors tension de la machine, le virus aussi du coup.
Oui c'est pour ça qu'on indique qu'il faut laisser la machine éteinte au moins 30s pour être sûr que tout est bien dégagé de la mémoire.
Ouai sauf qu'il y a un souci .ASUS par ex. utilise dees utilitaires logiciels sous win qui permettent de mettre a jour son bios en etant connecté au web.
Un virus exploitant ce logiciel pour s'installer ne doit pas etre trop dur a developper .
J'ai quelques doutes sur les travaux de ces chercheurs ayant travaillé pas mal sur le sujet : tout ceci n'est pas aussi trivial et réalisable.
Il n'y a plus aucun rapport entre un BIOS de l'époque 386 et maintenant : je ne parle pas evidemment du contenu.
Actuellement les BIOS se situent dans la partie haute des 4Go.
Le BootBlock du BIOS va aider celui-ci à se reloger en RAM dans la partie des 1Mo (compatibilité MS-DOS en autre). Mais ceci n'est pas une simple copie.
Lorsque vous recupérez un fichier de BIOS, celui ne correspond pas à l'image qui sera utilisé par le PC lorsque la BIOS aura fini de s'initialiser.
Le BIOS est constitué de modules, dont certains sont compressés.
Donc il faut déjà etre capable de patcher des parties de codes compressées qui subissent aussi de la relocation!
Ceci est une des difficultés logicielle à surmonter.
Coté Hard, le travail n'est pas plus simple.
L'accès et la sécurite au/du BIOS est en principe assuré par la configuration du NorthBridge et du SouthBridge. Jusque là rien d'insurmontable.
Mais l'accès est aussi assuré souvent par un 3eme Chip spécifique à chaque (type de) carte mère. (Pour le Norh/SouthBridge c'est grosso-modo de l'Intel, AMD, Nvidia). Ici cela peut etre n'importe quoi : le choix est bien plus vaste.
Je n'evoque pas non plus le type de flash et/ou de protocole (LPC, SPI) pour acceder/ecrire/effacer une flash. (JEDEC ou non)
N'oublions pas que dans le fichier de flashage (cas bios Phoenix), une partie contient le code specifique à la platforme (PC) et au type de flash.
De plus, les différents BIOS (Phoenix, Award, etc ..) n'ont pas la même structure.
Donc laissez penser qu'on dispose dès maintenant d'une solution universelle , i.e d'un logiciel aussi adaptatif, aussi bien concu pour patcher du code compressé, gérer les différent moyens d'accès (protocoles, plateformes, chip) me laisse très très reveur.
Donc laissez penser qu'on dispose dès maintenant d'une solution universelle
Il me semblait pourtant avoir insisté sur ce point, mais peut-être devrais-je ne remettre une couche.
Pour t'apporter plus de précisions, même si on n'a pas encore accès à une description très détaillée de leur exploit, les chercheurs ont présenté leur exploit à la CanSecWest. Le pdf est disponible ici.
A la lecture du pdf, il semble qu'ils patchent le BIOS présent en RAM, et non le contenu de la flash.
Ceci signifie que le virus de BIOS n'est pas persistent après un reset hard ou coupure electrique si le code injecteur est éliminé avant.
Dans ces conditions (patch du BIOS en Ram), oui c'est faisable.
La confusion peut venir de ce que l'on entend par BIOS : il faut distinguer le contenu de la flash (ROM), du contenu memoire où est placé le BIOS après initialisation par le BootBlock.
Actuellement les BIOS se situent dans la partie haute des 4Go.
Tu veux dire 4Mb ?
troll antidaté du 1er avril !!!
awaff awaff
Je vois pas où est la difficulté...
Et puis, un virus dans le BIOS c'est bien, mais qu'on puisse le cacher directement dans le CPU c'est quand même plus gênant -> Lien
Ce n'est pas si facile et cela a deja ete fait en 2003 : voir le chapitre 13 du livre Les virus informatiques : theorie pratique et applications chez Springer. Le protocole est decrit en detail avec des bouts de code. Et sur les Bios actuel c'est bcp plus complique du faite entre autres choses des techniques de compression et de pagination
Ils n'ont rien invente : juste un peu de buzz.
Je dirais tout simpement la chose suivante..ILS N'ONT QUE CA A FOUTRE CES DEUX GRANDS C.......S que de chercher comment nous faire chier...Ca me rappele quelques chercheurs et un certain atomes..Vive l'humanité et toute ca connerie..
C'est sympa de dire ça , ça va donner des idées aux pirates ... ah oui mais ceux là ne risquent rien de toute façon, ils ne sont pas la cible d'Hodapi et compagnie !
je ne connais pas bien l'architecture des PCs mais le bios c'est pas une petite puce qu'on peut enlever et qui coute une dizaine d'euros?
genre ca > http://www.my-techlife.com/WP/wp-c [...] p-bios.jpg
Heu généralement, ton BIOS, t'évites d'y toucher... Si t'as de gros bugs/problèmes de performances qui sont corrigeables par un nouveau BIOS, OK, tu t'y prends une soirée à flasher, mais à part ça, t'y touches pas, quoi, que ce soit de manière logicielle ou matérielle.