badBIOS : le rootkit qui infecte les BIOS et communique par les airs,
Windows, OS X, Linux et BSD sont tous vulnérables

Le , par Voïvode, Membre émérite
badBIOS, le rootkit qui infecte les BIOS et communique par les airs
Windows, OS X, Linux et BSD sont tous vulnérables.


L'expert en sécurité canadien Dragos Ruiu est victime depuis quelques années des turpitudes d'un rootkit inconnu (qu'il a surnommé badBIOS) particulièrement coriace et évolué.

Il y a trois ans, Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…

Les machines refusaient de démarrer sur autre chose que le disque principal et, beaucoup plus étrange, avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés ! Le plus inquiétant étant que le rootkit semblait même résister à une réinitialisation complète (firmware compris).

L'affaire commence à être tirée au clair depuis environ un mois lorsque Ruiu remarqua qu'une machine neuve fut infectée après l'insertion d'une clé USB (à l'image de Stuxnet). Le fonctionnement de badBIOS est encore mal compris, mais l'hypothèse la plus probable est que le microcontrôleur de la clé USB a été reprogrammé pour injecter directement une version minimale de badBIOS dans le firmware. La machine infectée va télécharger une version du rootkit adaptée à son système (Windows, OS X, Linux ou BSD), puis contamine ensuite les autres machines du réseau. Les machines infectées forment alors un ensemble s'assurant mutuellement que le rootkit reste opérationnel, annulant toute tentative de neutralisation.

Une machine infectée ne démarre que sur son disque principal pour compliquer encore l'élimination de badBIOS et, au cas où ses interfaces réseaux sont désactivées, le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.

Bien que surréalistes, les faits constatés par l'expert canadien ont été confirmés par Alex Stamos, cofondateur de iSEC Partners, et par Jeff Moss, créateur des conférences BlackHat et Defcon.

L'expert canadien ne sait toutefois pas si badBIOS a été introduit dans son laboratoire par internet ou si une de ses clés USB avait été trafiquée. Quoiqu'il en soit, d'après ses propres dires, l'intrusion dont il a été victime définirait un nouvel état de l'art. Les investigations continuent.

Source : Ars Technica

Et vous ?

Que pensez-vous de ce niveau de sophistication ?

Qui pourrait être à l'origine d'une telle arme numérique ?

La norme USB est-elle fondamentalement vulnérable ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Jejeleponey Jejeleponey - Membre à l'essai https://www.developpez.com
le 01/11/2013 à 18:30
Encore une nouvelle évolution pour les virus, et pas des moindres !

Le plus important dans tout cela serait de connaitre le but final de ce virus pour que ces concepteurs se soient donnés autant de mal pour qu'il ne soit pas désactivé.
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 02/11/2013 à 4:56
communiquer par la carte son, mais oui fallait y penser, mais qu'est-ce qu'on s'embête avec du BlueTooth et du Wifi franchement !

Jacob Kaplan-Moss, co-creator of Django, makes an interesting point on MetaFilter regarding communications via audio channels as described by Ruiu.

“The theoretical bandwidth for audio-based networking is something like 600 bytes per second. (And I think to get that rate you'd need to send data in using audible frequencies, so you'd hear your speakers squealing like a modem),” Kaplan-Moss noted.

“That's two seconds for a single TCP packet. It would take quite a long time to distribute anything, especially a virus as sophisticated as the one he's alleging,” he added.

“If the ‘virus’ is really communicating over audio, the equipment necessary to detect this is even cheaper: a freaking microphone. He hasn't made any attempt to capture the ‘networking’; that's super-suspect.”

So is badBIOS real or a hoax? Time will tell. Ruiu will either have to provide some concrete evidence or allow others to take a crack at the allegedly infected computers, or he’ll have to come forward with a confession.

http://news.softpedia.com/news/BadBI...x-396177.shtml
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 04/11/2013 à 9:49
les HP d'un portable ont suffisamment de bande passante pour emmètre en ultrason ? et idem pour le micro qui peut recevoir de l'ultrason ? j'en doute. Faut des capteurs bien spécifiques pour gérer de l'ultrason. Ca sent le fake à plein nez cette histoire
Avatar de dsy dsy - Membre habitué https://www.developpez.com
le 04/11/2013 à 10:50
Une analyse détaillée :
http://www.rootwyrm.com/2013/11/the-...ysis-is-wrong/

En résumé, c'est bidon car :
- UEFI n'est pas portable.
- Les HP sont incapables d'émettre des ultrasons.
Avatar de fab256 fab256 - Membre averti https://www.developpez.com
le 04/11/2013 à 10:51
le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs

Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 04/11/2013 à 11:30
Curieuse histoire. Les détails concernant le malware logé dans le BIOS ou la transmission audio sont clairement fantaisistes, mais apparemment, le malware existe réellement.
Avatar de ggravier ggravier - Nouveau Candidat au Club https://www.developpez.com
le 04/11/2013 à 12:53
Hello!

Pour le moment, tout ce qu'on lit sur le soit disant virus badBIOS ca provient de Ars Technica et du feed twitter d'un seul type : https://twitter.com/dragosr qui pour le moment n'a pas demontre grand chose.

On peut lire deux analyses contradictoires ici :

Sophos (l'editeur d'antivirus) : http://nakedsecurity.sophos.com/2013...ats-the-story/

RootWyrm, le site web d'un specialiste securite : http://www.rootwyrm.com/2013/11/the-...ysis-is-wrong/

Les deux analysent disent un peu la meme chose, et en particulier que pour le moment on n'a rien de sur. Et surtout beaucoup de choses qui semblent plus tirees de science fiction que de realite probable.

Avant de ceder a la panique, il faut surtout attendre que les experts finissent de dire ce qu'il en est vraiment (realite ou arnaque pour se rendre visible)...

Gilles.
Avatar de Aurelien.Regat-Barrel Aurelien.Regat-Barrel - Expert éminent https://www.developpez.com
le 04/11/2013 à 13:32
Moi aussi je suis très sceptique.

Je ne sais pas pour les machines Apple, mais flasher le BIOS d'un PC... Quand on voit la somme d'efforts et de difficultés pour le projet Coreboot, ça laisse rêveur que quelqu'un soit arrivés à créer une solution générique à toutes les cartes mères. A titre d'info, pour coreboot, les mecs ont codé un compilateur spécial qui n'utilise que les registres du CPU : pas de RAM ni de pile !

Mais bon, admettons. Je me demande quand même comment le BIOS arrive ensuite à modifier l'OS pour utiliser le CPU,effacer des données, etc... Tout ça sur 4 familles d'OS différents !!
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 04/11/2013 à 14:02
Je reste sceptique sur les performances du virus. Mais je ne doute pas qu'un état comme les USA ou la Chine ont les moyens et l'envie suffisante de tout contrôler qu'ils aient franchis le pas. Je serais moi même un état, je voudrais une armée dans les télécoms, j'aurais fait de même.
Avatar de niarkyzator niarkyzator - Membre confirmé https://www.developpez.com
le 04/11/2013 à 14:23
Citation Envoyé par Voïvode  Voir le message
le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.

J'ai du mal a saisir la logique de la chose. C'est un peu genre "j'ai chanté, il s'est mis à pleuvoir alors je contrôle la météo".
Offres d'emploi IT
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil