Voilà qui devrait moucher quelques partisans un peu trop présomptueux. ESET vient de mettre le doigt sur un type de malware encore jamais observé sur Linux, et ça n'a rien d'anodin.

Un premier bootkit UEFI pour Linux découvert par des chercheurs, et ce n'est pas rassurant © janews / Shutterstock
Un premier bootkit UEFI pour Linux découvert par des chercheurs, et ce n'est pas rassurant © janews / Shutterstock

Les chercheurs d’ESET viennent de lever le voile sur une menace qui pourrait bien redéfinir la sécurité sur Linux. Baptisé Bootkitty, ce malware est le tout premier bootkit UEFI conçu pour s’attaquer à ce système d’exploitation. Si son fonctionnement complexe relève a priori davantage d’un exercice de démonstration que d’une cyberattaque massive, il pose une question fondamentale : Linux est-il encore ce bastion inébranlable tant vanté par ses utilisateurs et utilisatrices ? Rien de moins sûr.

Un malware qui frappe là où on ne l’attendait pas

Pour rappel, les bootkits UEFI sont des malwares sophistiqués qui s’immiscent dans le firmware d’une machine pour intercepter et modifier le processus de démarrage. Ils ciblent des mécanismes critiques, comme la vérification d’intégrité des composants de démarrage (chargeur d’amorçage, noyau, etc.), afin de contourner les protections en place et permettre l’exécution de logiciels malveillants avant même que le système d’exploitation ne soit chargé.

Jusqu’à présent, ces attaques ciblaient Windows, plus largement adopté et historiquement plus exposé à ce type de menace. Linux, avec ses configurations souvent plus rigoureuses et son adoption rapide du démarrage sécurisé UEFI, semblait relativement épargné. Mais la découverte de Bootkitty par les équipes d’ESET change la donne : il s’agit du premier bootkit UEFI spécifiquement conçu pour Linux.

Selon ESET, le malware cible uniquement certaines versions d’Ubuntu, distribution particulièrement populaire. Son fonctionnement repose sur la modification en mémoire des fonctions qui vérifient l’intégrité du chargeur de démarrage GRUB. Une fois ces protections contournées, le noyau Linux peut charger sans alerte, même sur des systèmes dotés des mécanismes UEFI censés empêcher ce type de manipulation.

Bootkitty utilise un certificat auto-signé par l'attaquant © ESET
Bootkitty utilise un certificat auto-signé par l'attaquant © ESET

Il apparaît toutefois que le malware se heurte à certaines limites. D’après les analyses d’ESET, BootKitty utilise un certificat auto-signé par l'attaquant, et ne peut donc pas fonctionner si le démarrage sécurisé UEFI est activé. Certains éléments bugués de son code font également qu'il n'est compatible qu'avec des versions très spécifiques de GRUB et du noyau. Des contraintes techniques qui, pour le moment, limitent les perspectives d’attaques à grande échelle. On retiendra néanmoins que sa simple existence remet en question la fiabilité des protections UEFI, pourtant considérées comme une barrière efficace contre ce type de menace.

Les équipes d’ESET ont par ailleurs découvert un autre élément associé au malware, nommé BCDropper. Ce composant serait capable de déployer un fichier ELF chargé d’activer un module noyau supplémentaire une fois le système infecté. De toute évidence, Bootkitty ne se limite pas à compromettre le démarrage : il cherche aussi à maintenir un contrôle prolongé sur les machines ciblées.

En parallèle de BootKitty, un dropper s'introduit sur les machines infectées © ESET

Un précédent inquiétant pour la sécurité des systèmes Linux

Pendant longtemps, Linux a cultivé l’image d’un système hors de portée des attaques complexes. Mais ça, c’était avant Bootkitty. En ciblant l’UEFI, une composante technique rarement visée sur Linux, le malware montre que la frontière entre sécurité perçue et réalité est plus fine qu’il n’y paraît.

Ce cas s’inscrit dans une tendance inquiétante : les attaquants explorent désormais les couches matérielles pour contourner les défenses classiques du système. Un constat qui n’a finalement rien d’étonnant. A mesure que Linux gagne en popularité, il est logique qu’il commence à attirer davantage l’attention des cybercriminels.

Quoi qu’il en soit, cette découverte devrait inciter les utilisateurs à activer systématiquement le démarrage sécurisé, maintenir leurs firmwares à jour et s’assurer que seuls des certificats légitimes sont acceptés. Car Bootkitty marque un précédent : le premier bootkit UEFI pour Linux est là. Et même s’il semble n’être qu’une preuve de concept, rien n’exclut la possibilité de voir émerger des variantes plus efficaces, à plus grande échelle.

Source : ESET

À découvrir
Quelles sont les meilleures distributions Linux ? Comparatif 2024

03 décembre 2024 à 17h21

Comparatifs services