Discussion :

[max22bis]

On dirait le titre d'un mauvais remake et pourtant ce n'est pas de la fiction.

Pour rappel: http://www.developpez.com/actu/81461...t-a-l-origine/

Pourquoi les constructeurs n'ajoutent pas un cavalier qui autorise/empêche la modification du firmware ? Y a-t-il des modèles qui ont cette option ?

Mon disque est infecté: formatage, /fixmbr, zérotage mbr ne changent rien. Indétectable aux AV mais il se manifeste par des accès disques fréquents. Pas de mise à jour du firmware proposé par le constructeur, je ne peux donc pas tester de ce côté mais d'après l'article de Kaspersky Lab cela ne servirait à rien.

Comment procéderiez-vous pour savoir vers quel site le logiciel espion transmet des informations ? A partir de la machine compromise rien ne devrait être détectable, quel matériel faut-il pour le détecter ?

[Miss TAKE]

? Essaie de dumper ton firmware
Si il est bien fait tu devrais rien pouvoir voir depuis la machine infecté il faudrait surveiller le trafic depuis une autre machine entre celle infecté et ton accès internet
Mais comment tu est sûr que ton firmware est infecté ?

[max22bis]

Après avoir terminé mon surf j'ai remarqué des accès disques fréquents quasi réguliers sur mon portable. Je lance windows update et il me dit que tout est à jour alors que je savais qu'il y avait des mises à jour que je n'avais pas encore installé la veille. Dans le volet de gauche je relance la recherche et elles réapparaissent bien. Le lendemain je me connecte au même site et Firefox m'avertit qu'il y a un danger à accéder à ce site.

Je passe sur ma 2ème partition sans accès internet, supposée saine pour le développement et là les accès disque continuent ! En installant linux plus d'accès bizarre au disque mais bon je suis pas trop fan de cet OS, en plus j'ai des soucis avec le pilote de la carte graphique.

En général on n'a pas besoin d'upgrader un firmware, les constructeurs devraient ajouter une sécurité physique qui empêche tout upgrade. La seule solution est de remplacer le disque (en espérant que le BIOS ne soit pas infecté). Sinon linux + VM win mais les performances...

[Miss TAKE]

Tu est sous quel OS ? si c'est Windows 10 ou 8,8.1 se serait plus probablement eux les coupables (de vrais malwares ambulants...) quand j'étais sur Windows, j'avais des accès presque tout le temps au disque sans aucune raison…
Ce serait déjà bien de nous donner la marque, modèle, ref, etc. du disque en question
Je pensais qu'on pouvait naivement dumper le firmware avec quelque commande sous linux (juste pour une brève vérification) mais en faite non il faut directement le faire "physiquement" : https://spritesmods.com/?art=hddhack

Essaie déja de nous faire ceci sous une distribution linux :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
apt-get install smartmontools
smartctl --all /dev/sda1

Personnellement, si j'avais l'intuition que tu as (persistance au niveau firmware) je garderais ce disque dans un coin pour plus d'expérimentation plus tard ou je le jetterais directement. Autant ne pas perdre son temps sachant que les disques durs ne sont pas si chers à notre époque.

Le fait de passer sous Linux pour contrer ce problème ne va rien arranger au problème principal.
De toutes manières, les accès au disque peuvent être produits par pas mal de trucs et pas qu'une infection de ton firmware. Peut-être que tu est un peu trop parano. Ce type d'attaque n'arrive pas à la personne lambda sur Internet…

Est-ce que je peut voir le site d'où la connexion n'était pas sécurisée ?
De toutes façons, si c'est bien fait, si l'attaquant est aussi sophistiqué pour ce genre d'attaque, il peut très bien tout faire en mémoire et très peu d'accès au disque, voire aucun.

Pourquoi les constructeurs n'ajoutent pas un cavalier qui autorise/empêche la modification du firmware ? Y a-t-il des modèles qui ont cette option ?

Moi aussi je suis très intéressé par cette question en passant.

Dernière question : tu as fait comment ton formatage et "zérotage" exactement ?

Voilà, bonne chance.

[BufferBob]

salut,

On dirait le titre d'un mauvais remake et pourtant ce n'est pas de la fiction.
Pour rappel: http://www.developpez.com/actu/81461...t-a-l-origine/

la NSA n'y est pas pour grand chose, elle ne fait qu'obéir aux ordres des Illuminatis chinois de Zeta Reticuli

Mon disque est infecté

c'est donc le postulat de départ, s'embarrasser de preuves serait superflu à ce stade...

Indétectable aux AV mais il se manifeste par des accès disques fréquents.

en clair tu n'as absolument aucune preuve, mais dans le doute tu préfères penser et affirmer que ton disque est infecté, c'est le principe de base des théories du complot, "ce que je ne vois pas existe et m'est volontairement caché"

Après avoir terminé mon surf j'ai remarqué des accès disques fréquents quasi réguliers sur mon portable.

t'as envisagé que ça pouvait être n'importe quoi d'autre, des commits mémoire, l'OS qui fait sa tambouille avec le fichier d'échange, un service d'indexation des fichiers, ton antivirus qui fait son job, etc. etc. etc.

Firefox m'avertit qu'il y a un danger à accéder à ce site.

ouai bon, c'est à prendre avec précaution aussi ces alertes, "site dangereux" pour firefox ça peut aussi bien être un site qui distribue des malwares en s'attaquant au navigateur qu'un pauvre site de phishing fait par un ado ou un site de sécurité informatique qui a eu le malheur de publier un morceau de LoveLetter.vbs sur son forum au moment où le crawler Google passait par là

En installant linux plus d'accès bizarre au disque mais bon je suis pas trop fan de cet OS

t'as tort, Linux ça donne l'opportunité d'apprendre beaucoup de choses sur le fonctionnement de l'ordi et de l'OS, et la connaissance c'est encore le meilleur remède contre l'obscurantisme

En général on n'a pas besoin d'upgrader un firmware

c'est connu, les firmwares sont les seuls codes dépourvus de failles de sécurité

Personnelement si j'aurais

je le jeterais directement

oui. d'ailleurs il existe aussi des malwares qu'on peut loger dans la souris, dans le clavier, les écrans, le BIOS, et même sans ça on peut écouter toutes tes communications sans toucher à ton ordi, dans le doute moi je pense que je jetterai tout et je déménagerai dans une grotte

tu est un peu trop parano et ce type d'attaque n'arrive pas a la personne lambda sur internet ...

tout simplement.

[max22bis]

win 7 64bits
Seagate ST95000325AS
Packard Bell EasyNote LS11HR

“Just because you're paranoid doesn't mean they aren't after you.” Joseph Heller
"Ce n'est pas parce que je suis paranoïaque qu'ils ne sont pas tous après moi. " Pierre Desproges
(Je me demande qui est l'auteur originel)

Je pense qu'en informatique on est jamais assez parano. Le nombre d'ordinateurs reliés à internet ne cessant de grandir, cela représente une cible très lucrative pour les hackers. Il y a pleins d'articles pour être encore plus parano:
http://mai68.org/spip/spip.php?article4917 En milieu de page il y a une tente... comme quoi les indiens étaient en avance sur leur époque
voir google pour d'autres articles

Ma partition de développement ne contenait que le nécessaire pour le développement, rien de superflu, pas d'AV en arrière plan pour avoir un registre allégé et un démarrage système plus rapide. Je n'avais rien installé depuis plusieurs mois. J'ai démarré cette partition pour restaurer la partition internet et j'ai aussi constaté ces accès disque fréquents quasi régulier (en moyenne un accès disque par seconde). J'ai utilisé Seatools for windows qui n'a rien détecté d'anormal puis Seatools for Dos pour formater mais rien ne fonctionne, il détecte le disque c'est tout. Dans un article il disait que ce type de malware empêchait l'exécution de certaines commandes employées par les logiciels de diagnostique. J'ai utilisé HD Shredder pour le formatage et après réinstallation de win7, il y avait toujours les accès disque fréquents. Pour moi l'infection se situe au niveau firmware: hdd, bios, gpu, qui sait... tout est possible. Dans ce contexte tout ce qui contient un firmware qui peut être modifié à tout moment sans notre aval représente une faille de sécurité potentielle.

http://hackaday.com/2015/06/08/hard-...ly-persistent/
Si il a pu le faire seul dans son coin, d'autres peuvent le faire (confer ton article)

A quoi bon dumper mon firmware ? Je ne possède pas le firmware original et il n'y a pas de mise à jour dispo.

Personnellement si j'avais l'intuition que tu as (persistance au niveau firmware) je garderais ce disque dans un coin pour plus d'expérimentation plus tard ou je le jetterais directement autant ne pas perdre son temps sachant que les disques dur sont pas si chère a notre époque

Je vais le garder pour expérimentation mais il n'est pas tout à fait perdu si je peux récupérer le même modèle defect et échanger les cartes.

apt-get install smartmontools
smartctl --all /dev/sda1

Il faut d'abord que je trouve une version de linux qui reconnaisse à la fois ma carte graphique et qui possède un pilote ethernet. Je débute et je galère avec les pilotes sous linux...

Est-ce que je peux voir le site d'où la connexion n'était pas sécurisée ?

Je ne me souviens plus du nom, en fait c'est plutôt une catégorie de sites qui se sont fait hacker car quelques jours après firefox m'a donné le même avertissement pour un autre site de streaming. C'est pas interdit de regarder des vieilles séries.

de toute façon si c'est bien fait si l'attaquant est aussi sophistiqué pour ce genre d'attaque il peut très bien tout faire en mémoire et très peu d'accès au disque voir aucune

La discrétion n'est pas le but de ce malware mais plutôt trouver des fichiers intéressants à voler. C'est sûr qu'il y a moyen de réaliser des malwares plus discrets.

Il faut que les fabricants corrigent cette faille de sécurité ! Ce n'est pas normal qu'il puisse être modifié sans notre consentement !

[BufferBob]

"Ce n'est pas parce que je suis paranoïaque qu'ils ne sont pas tous après moi. " Pierre Desproges

ben oui, Desproges était un humoriste, c'est ce qu'on appelle de l'ironie

Je pense qu'en informatique on est jamais assez parano.

tu parles sans savoir.

A quoi bon dumper mon firmware ? Je ne possède pas le firmware original et il n'y a pas de mise à jour dispo.

si le firmware est effectivement infecté, en le dumpant tu vas pouvoir (encore faut-il savoir le faire) lire le code machine et voir s'il y a ou non une infection, c'est une tache pour un expert, mais t'as l'air d'en savoir beaucoup, tu devrais pas avoir trop de mal.

[max22bis]

sudo smartctl --all /dev/sda1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
smartctl 6.2 2013-07-26 r3841 [x86_64-linux-3.19.0-25-generic] (local build)
Copyright (C) 2002-13, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Model Family:     Seagate Momentus 5400.6
Device Model:     ST9500325AS
Serial Number:    --------
LU WWN Device Id: 5 000c50 02fd954b9
Firmware Version: 0001SDM1
User Capacity:    500.107.862.016 bytes [500 GB]
Sector Size:      512 bytes logical/physical
Rotation Rate:    5400 rpm
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ATA8-ACS T13/1699-D revision 4
SATA Version is:  SATA 2.6, 3.0 Gb/s
Local Time is:    Tue Feb  9 23:03:29 2016 CET
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED
See vendor-specific Attribute list for marginal Attributes.

General SMART Values:
Offline data collection status:  (0x82)	Offline data collection activity
					was completed without error.
					Auto Offline Data Collection: Enabled.
Self-test execution status:      (   0)	The previous self-test routine completed
					without error or no self-test has ever 
					been run.
Total time to complete Offline 
data collection: 		(    0) seconds.
Offline data collection
capabilities: 			 (0x7b) SMART execute Offline immediate.
					Auto Offline data collection on/off support.
					Suspend Offline collection upon new
					command.
					Offline surface scan supported.
					Self-test supported.
					Conveyance Self-test supported.
					Selective Self-test supported.
SMART capabilities:            (0x0003)	Saves SMART data before entering
					power-saving mode.
					Supports SMART auto save timer.
Error logging capability:        (0x01)	Error logging supported.
					General Purpose Logging supported.
Short self-test routine 
recommended polling time: 	 (   1) minutes.
Extended self-test routine
recommended polling time: 	 ( 139) minutes.
Conveyance self-test routine
recommended polling time: 	 (   2) minutes.
SCT capabilities: 	       (0x103b)	SCT Status supported.
					SCT Error Recovery Control supported.
					SCT Feature Control supported.
					SCT Data Table supported.

SMART Attributes Data Structure revision number: 10
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x000f   116   099   006    Pre-fail  Always       -       105511305
  3 Spin_Up_Time            0x0003   099   099   000    Pre-fail  Always       -       0
  4 Start_Stop_Count        0x0032   095   095   020    Old_age   Always       -       5672
  5 Reallocated_Sector_Ct   0x0033   100   100   036    Pre-fail  Always       -       0
  7 Seek_Error_Rate         0x000f   084   060   030    Pre-fail  Always       -       324748671
  9 Power_On_Hours          0x0032   081   081   000    Old_age   Always       -       16850
 10 Spin_Retry_Count        0x0013   100   100   097    Pre-fail  Always       -       0
 12 Power_Cycle_Count       0x0032   097   097   020    Old_age   Always       -       3559
184 End-to-End_Error        0x0032   100   100   099    Old_age   Always       -       0
187 Reported_Uncorrect      0x0032   100   100   000    Old_age   Always       -       0
188 Command_Timeout         0x0032   100   097   000    Old_age   Always       -       17180131332
189 High_Fly_Writes         0x003a   100   100   000    Old_age   Always       -       0
190 Airflow_Temperature_Cel 0x0022   070   043   045    Old_age   Always   In_the_past 30 (0 9 30 27 0)
191 G-Sense_Error_Rate      0x0032   100   100   000    Old_age   Always       -       52
192 Power-Off_Retract_Count 0x0032   100   100   000    Old_age   Always       -       34
193 Load_Cycle_Count        0x0032   082   082   000    Old_age   Always       -       37018
194 Temperature_Celsius     0x0022   030   057   000    Old_age   Always       -       30 (0 8 0 0 0)
195 Hardware_ECC_Recovered  0x001a   053   044   000    Old_age   Always       -       105511305
197 Current_Pending_Sector  0x0012   100   100   000    Old_age   Always       -       0
198 Offline_Uncorrectable   0x0010   100   100   000    Old_age   Offline      -       0
199 UDMA_CRC_Error_Count    0x003e   200   200   000    Old_age   Always       -       0
254 Free_Fall_Sensor        0x0032   100   100   000    Old_age   Always       -       0

SMART Error Log Version: 1
No Errors Logged

SMART Self-test log structure revision number 1
Num  Test_Description    Status                  Remaining  LifeTime(hours)  LBA_of_first_error
# 1  Short offline       Completed without error       00%     16489         -
# 2  Short offline       Completed without error       00%     16487         -

SMART Selective self-test log data structure revision number 1
 SPAN  MIN_LBA  MAX_LBA  CURRENT_TEST_STATUS
    1        0        0  Not_testing
    2        0        0  Not_testing
    3        0        0  Not_testing
    4        0        0  Not_testing
    5        0        0  Not_testing
Selective self-test flags (0x0):
  After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.

Voilà Miss Take

[Escapetiger]

(...)Le lendemain je me connecte au même site et Firefox m'avertit qu'il y a un danger à accéder à ce site.
(...)

ouai bon, c'est à prendre avec précaution aussi ces alertes, "site dangereux" pour firefox ça peut aussi bien être un site qui distribue des malwares en s'attaquant au navigateur qu'un pauvre site de phishing fait par un ado ou un site de sécurité informatique qui a eu le malheur de publier un morceau de LoveLetter.vbs sur son forum au moment où le crawler Google passait par là

Ce peut être aussi un problème de certificat auto signé :

Source :
https://support.mozilla.org/fr/kb/me...-pas-certifiee
Le message d'erreur « Cette connexion n'est pas certifiée » apparaît – ce qu'il faut faire | Assistance de Firefox


Par ailleurs, serait-il possible d'avoir le lien vers ledit site que l'on puisse se faire une opinion ?

[transgohan]

Sans être parano faut être sacrément passif pour ne pas laisser tourner un AV en arrière plan en allant sur des sites de streaming qui sont généralement bourrés de pubs toutes plus douteuses les unes que les autres.
Si tu cherches le vecteur d'infection il y a de grandes chances que cela soit ça.

[BufferBob]

Ce peut être aussi un problème de certificat auto signé

on parle pas du même message, quand tu vas pour visiter une page genre phishing, firefox t'affiches un warning du genre http://itisatrap.org/firefox/its-a-trap.html (sans risque, page de test officielle)

quand il s'agit d'un certificat auto-signé on prend plutôt un popup du style :

pour revenir à la question principale de cette discussion (notée 3 étoiles sur 5 tellement qu'elle est bien), on part donc des sources :

• la news citée par le PO sur developpez.com (FR)
• la source de ladite news, en date du 16/02 (EN)
• une autre entrée du blog officiel Kaspersky, publiée le lendemain (EN)
• un article sur Equation, le groupe à l'origine de tout ce vacarme (EN)
• la page wiki dudit groupe Equation (FR)

après lecture, on essaye de comprendre un ptit peu et on relève :

Les victimes, réparties dans plus de 30 pays, sont essentiellement les fournisseurs de services de télécommunications, les gouvernements, les forces armées, les services publics, et les organisations de médias, entre autres.
(...)
Bien que Kaspersky n'ait pas mentionné la NSA dans son rapport, plusieurs preuves pointent l'agence américaine du doigt.

Indestructible malware by Equation cyberspies is out there – but don’t panic (yet)
(...)
This is one of the long-anticipated scary stories in computer security – an incurable virus that persists in computer hardware forever (...) However, we want to lower the level of drama. This ability will remain as rare as pandas walking across the street.
(...)
don’t rush to find your screwdriver – we don’t expect this ultimate infection ability to become mainstream. Even the Equation group itself probably only used it a few times, as HDD infector module is extremely rare on victim’s systems. For starters, hard drive reprogramming is much more complex than writing, let’s say, Windows software. Each hard drive model is unique and it is very expensive and painstaking to develop an alternative firmware. A hacker must obtain the hard drive vendor’s internal documentation (which is nearly impossible), purchase some drives of the exact same model, develop and test required functionality, and squeeze malicious routines into existing firmware, all while keeping its original functions. This is very high profile engineering which requires months of development and millions in investment. That’s why it’s not feasible to use this kind of stealth technologies in criminal malware or even most targeted attacks.
(...)
So, the practical outcome of the story is – HDD-infecting malware is not a legend anymore, but the average individual isn’t at risk. Don’t slam your drives with a hammer, unless you work in Iran’s nuclear industry. Pay more attention to less exciting, but more probable, risks like being hacked because of bad passwords or an outdated antivirus.

L'Equation Group (...) est le nom attribué à un groupe informatique de cyber-espionnage de haut niveau, soupçonné d'être lié à la National Security Agency (NSA).
(...)
En se basant sur la liste des 500 victimes recensées, Kaspersky Lab indique que les organisations visées appartiennent généralement aux catégories suivantes : « organisations gouvernementales et institutions diplomatiques, entreprises publiques ou privées du secteurs des télécommunications, de l’aérospatiale, de l'énergie, de la recherche nucléaire, du pétrole et gaz, des organisations du secteur militaire, des entreprises spécialisées en nanotechnologie, des militants et activités islamiques, des entreprises du secteur des médias, du transport, des institutions financières ou bien encore des sociétés réalisant de la recherche et développement en cryptographie »

en clair y'a à peu près 0 risque que le disque soit infecté au niveau de son firmware à moins d'être une cible de premier ordre pour les services de renseignements américains, "aussi rare qu'un panda qui traverse la rue" (sic) c'est pas moi qui le dit, c'est les chercheurs de Kaspersky
alors après ça si le PO a toujours envie de croire à l'infection du firmware de son disque, comme il le dit avec tant de sagesse :

Il y a pleins d'articles pour être encore plus parano

bonne lecture...