Le premier malware exploitant l'UEFI découvert (et il est russe)

Mathieu Grumiaux
Par Mathieu Grumiaux, Expert maison connectée.
Publié le 03 octobre 2018 à 18h58
Malware

Les ingénieurs d'un concepteur d'antivirus ont fait la découverte d'un programme malveillant, se logeant à la racine du démarrage du système d'exploitation.

Les chercheurs d'ESET, un concepteur d'antivirus ont publié un article détaillant la découverte d'un malware d'un nouveau genre, prenant pour cible l'UEFI.

Le virus, appelé "Lojax", était caché dans un programme commercial, créait une porte dérobée dans le système d'exploitation et pouvait résister et survivre à une attaque antivirus, ou encore à une réinstallation complète du système.

Les ingénieurs d'ESET indiquent également sur le site welivesecurity que le malware a été créé et diffusé par un groupe de hackers russes, déjà à l'origine d'un piratage des conversations et documents du Parti Démocrate lors de la campagne présidentielle d'Hillary Clinton en 2016.

L'UEFI, un sytème faillible depuis de nombreuses années

Ce n'est pas la première fois que l'UEFI est pointé du doigt par de nombreux experts en sécurité. L'UEFI est un petit système d'exploitation qui fonctionne indépendamment de celui de l'ordinateur, qui est une porte ouverte pour quiconque souhaite y créer des portes dérobées ou des logiciels malveillants.

Des documents confidentiels de la CIA, dévoilés par Wikileaks, montraient que l'agence de renseignements américaine avait développé un virus à destination des Macintosh d'Apple, utilisant l'UEFI pour prendre le contrôle de la machine. Il fallait toutefois accéder physiquement à la machine pour installer le malware, à la différence de "Lojax" qui peut à distance lire et écrire sur la mémoire de l'UEFI.

Les chercheurs Dick Wilkins et Jim Mortensen, travaillant chez Phoenix technologies, une société spécialisée dans la conception de BIOS, expliquaient récemment que "les firmwares sont des logiciels et ils sont tout aussi vulnérables aux mêmes menaces que ces derniers".

Un malware en gestation depuis 2014

Les recherches d'ESET démontrent que le malware "Lojax" est un projet datant de plus de 4 ans. Les premières traces d'un tel système de contrôle ont été découvertes sur des tentatives de piratages de machines situées dans les Balkans, comme en Europe centrale.

Malgré les tentatives répétées d'accéder à la mémoire de l'UEFI, les systèmes de protection étaient désactivés par défaut sur les nombreuses implémentations réalisées par les constructeurs d'ordinateurs.

Mathieu Grumiaux
Par Mathieu Grumiaux
Expert maison connectée
XLinkedIn

Journaliste pour Clubic, je couvre essentiellement les sujets concernant la maison connectée et les objets connectés, mais aussi les dernières nouvelles de l'industrie du streaming vidéo, entre autres sujets. Je suis également l'actu d'Apple, marque qui m'accompagne depuis mon premier iPod mini en 2005 (ça ne nous rajeunit pas…)

Articles de Mathieu Grumiaux
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
Felaz

La source a été ajoutée

Al_Jardine

@M. Grumiaux … Que voulez-vous suggérer par ce « (et il est russe) » dans le titre de l’article…?

Comme le montre ce camembert (source: BusinessWeek/Symantec), la cybercriminalité est en effet un phénomène plutôt rare en Russie…

cybercrime-top-20-countries-pie-chart.jpg644×524 168 KB

Pour les lecteurs qui se méfient un peu de l’information relayée (virale-ment ?) par une certaine presse, voici le lien vers l’étude dont il est extrait :

Tiens… puisque votre métier semble être la traduction en français de ce que vous lisez dans les médias anglophones… vous pourriez peut-être nous concocter un article résumant les conclusions de enigmasoftware.com pour les lecteurs francophones…?

CM35

Pas mal ! :+1:

moomsman

Bien-sûr que si c’est expliqué dans le PDF: https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

En gros, le malware arrive à flasher le firmware SPI (la puce BIOS) pour y insérer un malware, et au démarrage recherche une partition FAT32/NTFS pour y insérer son payload qui va télécharger un programme.
Vu que c’est dans le BIOS, ça résiste à un formatage.
La seule solution pour s’en débarrasser c’est de flasher le BIOS, si possible avec un programmateur SPI (3€ sur eBay) pour être certain de s’en être débarrassé.

Plus d’infos sur le flash SPI ici: https://forum.hardware.fr/hfr/Hardware/carte-mere/management-desactiver-backdoor-sujet_1024572_1.htm

Dernières actualités
Cyber Monday : renforcez votre cybersécurité avec ces antivirus à -70%
Un premier bootkit UEFI pour Linux découvert par des chercheurs, et ce n'est pas rassurant
Un malware se propage en exploitant une plateforme de création de jeux bien connue
Ces deux suites de cybersécurité sont en promotion pour le Black Friday (jusqu'à -77%)
Saisissez ces suites de cybersécurité premium à prix cassés pour le Black Friday
Des pirates créent de faux profils de salariés ou de recruteurs sur LinkedIn pour voler des cryptomonnaies et des données
Comment les hackers exploitent Spotify et Amazon pour diffuser leurs scams
Antivirus, gestionnaire de mots de passe et VPN sont compris dans cette suite de cybersécurité Norton
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles