Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

badBIOS : le rootkit qui infecte les BIOS et communique par les airs,
Windows, OS X, Linux et BSD sont tous vulnérables

Le , par Voïvode

46PARTAGES

5  4 
badBIOS, le rootkit qui infecte les BIOS et communique par les airs
Windows, OS X, Linux et BSD sont tous vulnérables.


L'expert en sécurité canadien Dragos Ruiu est victime depuis quelques années des turpitudes d'un rootkit inconnu (qu'il a surnommé badBIOS) particulièrement coriace et évolué.

Il y a trois ans, Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…

Les machines refusaient de démarrer sur autre chose que le disque principal et, beaucoup plus étrange, avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés ! Le plus inquiétant étant que le rootkit semblait même résister à une réinitialisation complète (firmware compris).

L'affaire commence à être tirée au clair depuis environ un mois lorsque Ruiu remarqua qu'une machine neuve fut infectée après l'insertion d'une clé USB (à l'image de Stuxnet). Le fonctionnement de badBIOS est encore mal compris, mais l'hypothèse la plus probable est que le microcontrôleur de la clé USB a été reprogrammé pour injecter directement une version minimale de badBIOS dans le firmware. La machine infectée va télécharger une version du rootkit adaptée à son système (Windows, OS X, Linux ou BSD), puis contamine ensuite les autres machines du réseau. Les machines infectées forment alors un ensemble s'assurant mutuellement que le rootkit reste opérationnel, annulant toute tentative de neutralisation.

Une machine infectée ne démarre que sur son disque principal pour compliquer encore l'élimination de badBIOS et, au cas où ses interfaces réseaux sont désactivées, le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.

Bien que surréalistes, les faits constatés par l'expert canadien ont été confirmés par Alex Stamos, cofondateur de iSEC Partners, et par Jeff Moss, créateur des conférences BlackHat et Defcon.

L'expert canadien ne sait toutefois pas si badBIOS a été introduit dans son laboratoire par internet ou si une de ses clés USB avait été trafiquée. Quoiqu'il en soit, d'après ses propres dires, l'intrusion dont il a été victime définirait un nouvel état de l'art. Les investigations continuent.

Source : Ars Technica

Et vous ?

Que pensez-vous de ce niveau de sophistication ?

Qui pourrait être à l'origine d'une telle arme numérique ?

La norme USB est-elle fondamentalement vulnérable ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 04/11/2013 à 21:08
Citation Envoyé par fab256 Voir le message
Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!
Citation Envoyé par vanquish Voir le message
Les logiciels anti-moustiques existent.
Mais des logiciels anti-moustiques qui fonctionnent, je pense que tu auras du mal à en trouver.
Les logiciels anti-moustiques existent, et ils fonctionnent (comprendre ils s’exécutent ), mais de là à être efficace.
D'autant plus qu'il a été démontré depuis longtemps que les-dits moustiques étaient totalement insensibles à ces ultra-soniques chasseurs de moustiques.

Quant à la communication par ultra-son entre PC, quand on connait la bande passante et la dynamique des haut-parleurs et micro standard en informatique, même pas capable de reproduire correctement les aiguës audibles, j'imagine la gueule des algorithmes de filtres numériques derrière le micro pour réussir à récupérer une information exploitable.

Citation Envoyé par Voïvode Voir le message

Il y a trois ans,
Ah oui, quand même. Et il a pas pensé à difuser l'info avant, non ?
Citation Envoyé par Voïvode Voir le message
de son MacBook Air
Pas futé, le gars, il aurait pu choisir Windows pour être plus crédible.
Citation Envoyé par Voïvode Voir le message
Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…
Ouais, ouais, ouais. On connais tous à quel points les systèmes Apple sont fermé, j'imagine que le firmware ne peut être installé que depuis un serveur Apple. C'est donc les serveurs Apple qui auraient été infectés ?
Ah mais c'est vrai, il n'est dit nulle part que c'était le firmware qui était infecté, c'était juste une coïncidence....

Citation Envoyé par Voïvode Voir le message
Les machines refusaient de démarrer sur autre chose que le disque principal et,
Ouais, en gros comme toutes les machines, même saines, quoi !

Citation Envoyé par Voïvode Voir le message
avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés !
Alors là, ça par contre ça m’intéresse. Arrivé à avoir une activité réseau sans réseau c'est génial, ça résoudrait pas mal de problèmes quand les connexions tombent sans raison.
Je pense qu'il faut breveter illico.
6  1 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 05/11/2013 à 9:20
Communication par ultrason, flash direct du bios (c'est une opération non triviale), utilisation du réseau et d'internet alors que tout est coupé, là on est dans un roman de Stephen King avec une machine possédée .
Je me demande si tout ceci part d'un fond de sérieux juste exagéré, ou si c'est pas carrément une légende comme le soi-disant virus qui déssoudait les câbles du disque dur il y a 15-20 ans.
5  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 02/11/2013 à 4:56
communiquer par la carte son, mais oui fallait y penser, mais qu'est-ce qu'on s'embête avec du BlueTooth et du Wifi franchement !

Jacob Kaplan-Moss, co-creator of Django, makes an interesting point on MetaFilter regarding communications via audio channels as described by Ruiu.

“The theoretical bandwidth for audio-based networking is something like 600 bytes per second. (And I think to get that rate you'd need to send data in using audible frequencies, so you'd hear your speakers squealing like a modem),” Kaplan-Moss noted.

“That's two seconds for a single TCP packet. It would take quite a long time to distribute anything, especially a virus as sophisticated as the one he's alleging,” he added.

“If the ‘virus’ is really communicating over audio, the equipment necessary to detect this is even cheaper: a freaking microphone. He hasn't made any attempt to capture the ‘networking’; that's super-suspect.”

So is badBIOS real or a hoax? Time will tell. Ruiu will either have to provide some concrete evidence or allow others to take a crack at the allegedly infected computers, or he’ll have to come forward with a confession.
http://news.softpedia.com/news/BadBI...x-396177.shtml
6  2 
Avatar de niarkyzator
Membre confirmé https://www.developpez.com
Le 04/11/2013 à 14:23
Citation Envoyé par Voïvode Voir le message
le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.
J'ai du mal a saisir la logique de la chose. C'est un peu genre "j'ai chanté, il s'est mis à pleuvoir alors je contrôle la météo".
4  0 
Avatar de dsy
Membre habitué https://www.developpez.com
Le 04/11/2013 à 10:50
Une analyse détaillée :
http://www.rootwyrm.com/2013/11/the-...ysis-is-wrong/

En résumé, c'est bidon car :
- UEFI n'est pas portable.
- Les HP sont incapables d'émettre des ultrasons.
4  1 
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 04/11/2013 à 13:32
Moi aussi je suis très sceptique.

Je ne sais pas pour les machines Apple, mais flasher le BIOS d'un PC... Quand on voit la somme d'efforts et de difficultés pour le projet Coreboot, ça laisse rêveur que quelqu'un soit arrivés à créer une solution générique à toutes les cartes mères. A titre d'info, pour coreboot, les mecs ont codé un compilateur spécial qui n'utilise que les registres du CPU : pas de RAM ni de pile !

Mais bon, admettons. Je me demande quand même comment le BIOS arrive ensuite à modifier l'OS pour utiliser le CPU,effacer des données, etc... Tout ça sur 4 familles d'OS différents !!
3  0 
Avatar de glad33bx
Membre régulier https://www.developpez.com
Le 04/11/2013 à 21:08
Je ne voudrais pas être mauvaise langue ...

Mais un expert en sécurité qui n'arrive pas à désinfecter ses machines, ça fait tâche
4  1 
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 04/11/2013 à 9:49
les HP d'un portable ont suffisamment de bande passante pour emmètre en ultrason ? et idem pour le micro qui peut recevoir de l'ultrason ? j'en doute. Faut des capteurs bien spécifiques pour gérer de l'ultrason. Ca sent le fake à plein nez cette histoire
2  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 04/11/2013 à 14:02
Je reste sceptique sur les performances du virus. Mais je ne doute pas qu'un état comme les USA ou la Chine ont les moyens et l'envie suffisante de tout contrôler qu'ils aient franchis le pas. Je serais moi même un état, je voudrais une armée dans les télécoms, j'aurais fait de même.
2  0 
Avatar de jmnicolas
Membre éprouvé https://www.developpez.com
Le 04/11/2013 à 14:32
Autant l'infection de l'UEFI ne me surprend pas plus que ça (bien que ça soit déjà du très haut niveau) autant la communication par ultra-sons ça fait sonner mon alarme à "mytho" ...

Vu la virulence de ce virus, son découvreur ne devrait pas avoir de mal à le partager afin qu'on puisse infirmer ou confirmer ses dires.
3  1