LogoFAIL : cette nouvelle cyberattaque quasi indétectable cible les PC lors de leur démarrage

Publié le 08 décembre 2023 à 09h44

Il faudra sans doute que vous mettiez à jour votre PC bientôt © Hadrian / Shutterstock

Les failles de sécurité pleuvent ces derniers jours avec la tenue de la conférence Black Hat Europe. La dernière découverte en date est particulièrement agressive puisqu’elle cible des milliers de machines avec une faille quasi indétectable.

Après Heartbleed et Log4Shell, vous reprendrez bien un peu de panique cyber, non ? LogoFAIL, une faille découverte par la société Binarly et dont le fonctionnement a été détaillé lors de la conférence Black Hat Europe, peut infecter votre machine avec un très haut degré de privilège, se lancer dès le démarrage de votre PC et résister à une réinstallation du système d’exploitation. De quoi faire de gros dégâts en somme.

« Game Over pour la sécurité »

Concrètement, comme le suggère son petit surnom, LogoFAIL va remplacer l’image de « boot » (le logo du constructeur qui s'affiche une poignée de secondes avant le lancement de Windows) de votre ordinateur par un fichier vérolé. Cela permet d’accéder ensuite à la configuration racine de l’ordinateur, et donc d’intercepter toutes les commandes et toutes les données reçues et stockées sur un PC. Plus qu’une seule faille, c’est en fait une grosse vingtaine de bugs qui ont été mis bout à bout pour arriver à créer ce nouveau vecteur d'attaque.

En s’attaquant à l’UEFI (le mini système stocké sur la carte mère censée faire le relai entre le matériel et l’OS installé sur le disque dur), LogoFAIL peut ainsi passer sous les radars de tous les antivirus et autres logiciels d’identification de malware. Petit bonus, puisque le ver est installé directement sur la mémoire de la carte mère, il résiste aussi à une réinstallation complète de la machine.

« Une fois le code arbitraire exécutée lors de la phase de démarrage, c’est game over pour la sécurité de l’ordinateur », explique Binarly, « à partir de là, on obtient un contrôle complet sur la mémoire et le disque dur de la machine infectée, et donc sur le système d’exploitation qui y est installé. »

Des mises à jour qui arrivent

Selon la configuration de l’UEFI sur votre machine, le remplacement de l’image de démarrage peut être plus ou moins aisé. Les PCs qui ont proprement intégré l’outil Intel Boot Guard sont un peu mieux protégés et ne peuvent être infectés qu’en flashant directement le bios. Cependant, d’autres machines (venant d’Acer et de Lenovo surtout) proposent carrément de changer l’image de boot via un petit logiciel installé directement sur Windows, rendant l’exploitation du bug très aisé.

D’après Binarly, la plupart des PCs (HP, Lenovo, Dell, Acer) et des cartes mères (Intel, AMD) sont vulnérables, à des degrés plus ou moins importants. Pour le moment, il est difficile de dire si cette faille a déjà été exploitée par des acteurs malveillants. Cependant, les constructeurs ayant été mis au courant, des mises à jour de l’UEFI devraient arriver rapidement. Ces dernières seront, la plupart du temps, rendues disponibles via l’outil de mise à jour constructeur installé par défaut sur votre ordinateur (souvent surnommé HP/Acer/Intel Driver Update ou Support Assistant).

Source : Binarly via Ars Technica

Par Corentin Béchade

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.

Articles de Corentin Béchade

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

dredd

J’ai eu pendant longtemps un genre d’attaque de ce style qui mettait en panne mon PC au démarrage. Puis mon laptop aussi. Puis ma voiture. Puis ma Playstation. Puis ma TV. Puis le micro-onde.

J’ai fini par comprendre que j’avais juste une poisse énorme.

cid1

Cette faille existe aussi sur Android

Pierreonline

Vous dîtes qu’elle est indétectable mais certains antivirus (comme Bitdefender ou Microsoft Defender) proposent de scanner le pc AVANT le démarrage de windows, est ce que un scan de cette nature permet quand même de détecter l’attaque ?

TNZ

Ben nan, de ce que j’en ai compris, l’attaque se fait avant de lancer le bootloader (ntloader pour windows et grub pour linux) … du coup, l’OS se prend l’attaque en frontal sans aucun moyen d’anticiper la douille.

Feunoir

Quand tu en es à pouvoir modifier l’image de boot d’une machine elle est déjà un peu compromise

A mon avis la seule utilité de cette méthode c’est l’espionnage/surveillance du pc en catimini une fois l’attaque initiale faite, c’est + un truc de gouvernement

Pierreonline

Il faudrait aussi savoir si c’est une attaque qui nécessite un accès physique ou local à l’ordinateur cible ou si elle peut avoir lieu à distance sur internet … Si ça nécessite un accès à la machine à compromettre, ça réduit pas mal les risques quand même …

bennukem

D’après ce que j’avais pu lire sur UEFI, c’est un os tellement bordélique où chacun y met sa sauce… ça rend impossible à faire confiance pour des implications critiques.

Nmut

De ce que je comprends, il faut une mise à jour du bios.
Donc c’est tout à fait faisable à distance (ça se fait régulièrement sur les machines de parc), ou juste par une manipulation « volontaire » de l’utilisateur qui récupère un bios / un logo de boot vérolé (via de l’ingénierie sociale par exemple).

Et comme c’est dans le bios, c’est totalement transparent pour l’OS, même le scan au boot ne pourra le voir (ça permet juste de détecter les cochonneries qui se planquent dans Windows lui même). Il faudrait un anti-virus dans l’UEFI. Mais bon un simple hash pour vérifier si le bios a été changé et un blocage des mises à jour BIOS doivent déjà être très efficaces, je suppose que c’est ce qui sera proposé par les constructeurs de carte mère.

sources

Quand tu vois que tous les constructeurs proposent des MAJ de l’UEFI via Windows update et que certains constructeurs se sont faits pirater, on est en droit de se demander si certains (dont des gouvernements) n’ont pas réfléchi à injecter du code malveillant dans des mises à jour de ce type.
On peut même imaginer un virus qui s’attaquerait à Windows update sur le pc et lui ferait charger une mise à jour de l’UEFI vérolée, voire directement les outils constructeurs.
Bref, pas très rassurant quand même.

Aegis

Windows update est très protégé.
Le souci avec cette attaque, c’est qu’un simple logiciel avec des droits d’utilisateur peut changer l’image de boot. L’uefi est critique mais n’est pas correctement protégé.
Ça touche les PC mais aussi les Linux. Mac est différent, il y a aussi un uefi mais seul Apple y a accès.