Virtualisation : un malware 100% indétectable ?

Alex
Par Alex
Publié le 03 juillet 2006 à 18h02
00122955-photo-virus-spyware.jpg
Joanna Rutkowska, chercheur en sécurité pour une firme singapourienne, affirme qu'elle serait parvenue à mettre au point un malware capable de tirer parti des capacités de virtualisation des Processeurs et des systèmes d'exploitation récents pour infecter une machine tout en restant totalement indétectable. Elle présentera son prototype le 21 juillet lors d'une conférence à Singapour et le 3 août durant la célèbre « Black Hat », qui réunit à Las Vegas le gratin des hackers, chercheurs et autres spécialistes en réseau et en sécurité informatique.

Baptisé Blue Pill, soit littéralement « pilule bleue », en référence au film Matrix, ce prototype exploite pour le moment Pacifica, la technologie de virtualisation d'AMD et fonctionne sous Windows Vista 64 bits. Selon Rutkowska, sa présentation consistera à démontrer qu'il existe une méthode générique pour insérer du code arbitraire dans le noyau de Vista bêta 2 64 bits, sans tirer parti d'une quelconque faille de sécurité ou erreur de développement. Blue Pill passe donc outre les protections de Vista 64 bits, qui est censé vérifier la signature électronique de tous les composants chargés dans le noyau.

Une fois installé, Blue Pill peut être utilisé à n'importe quelle fin, y compris la prise de contrôle du système. « Votre système avale Blue Pill et se réveille dans la Matrice (...). Tout se passe à la volée (c'est à dire sans redémarrer le système), sans perte de performances et tous les périphériques, comme la carte graphique, sont parfaitement accessibles pour le système d'exploitation, qui s'exécute maintenant depuis une machine virtuelle », indique Joanna Rutkowska sur son blog. Des chercheurs de Microsoft avaient déjà mis au point un programme similaire, mais un redémarrage était nécessaire pour l'installation alors qu'ici, l'infection est instantanée.

Ces effrayantes perspectives seraient, selon elle, rendues possibles grâce à la technologie de virtualisation d'AMD, Pacifica. Tous les systèmes 64 bits pourraient d'ailleurs être concernés, indique-t-elle, sans qu'il soit véritablement possible de détecter la présence de Blue Pill. A moins que... la technologie Pacifica ne comporte des failles, affirme-t-elle ! Elle précise par ailleurs que c'est faute de temps qu'elle n'a pas reproduit ses essais sur des processeurs Intel équipés de Virtual Technology, et invite à entamer une réflexion sur les dangers inhérents à l'implémentation hardware de la virtualisation. Plus d'informations sur son blog, InvisibleThings.
Alex
Par Alex
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles