IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

badBIOS, le rootkit qui infecte les BIOS et communique par les airs

  1. #1
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    475
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 475
    Points : 2 627
    Points
    2 627
    Par défaut badBIOS, le rootkit qui infecte les BIOS et communique par les airs
    badBIOS, le rootkit qui infecte les BIOS et communique par les airs
    Windows, OS X, Linux et BSD sont tous vulnérables.


    L'expert en sécurité canadien Dragos Ruiu est victime depuis quelques années des turpitudes d'un rootkit inconnu (qu'il a surnommé badBIOS) particulièrement coriace et évolué.

    Il y a trois ans, Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…

    Les machines refusaient de démarrer sur autre chose que le disque principal et, beaucoup plus étrange, avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés ! Le plus inquiétant étant que le rootkit semblait même résister à une réinitialisation complète (firmware compris).

    L'affaire commence à être tirée au clair depuis environ un mois lorsque Ruiu remarqua qu'une machine neuve fut infectée après l'insertion d'une clé USB (à l'image de Stuxnet). Le fonctionnement de badBIOS est encore mal compris, mais l'hypothèse la plus probable est que le microcontrôleur de la clé USB a été reprogrammé pour injecter directement une version minimale de badBIOS dans le firmware. La machine infectée va télécharger une version du rootkit adaptée à son système (Windows, OS X, Linux ou BSD), puis contamine ensuite les autres machines du réseau. Les machines infectées forment alors un ensemble s'assurant mutuellement que le rootkit reste opérationnel, annulant toute tentative de neutralisation.

    Une machine infectée ne démarre que sur son disque principal pour compliquer encore l'élimination de badBIOS et, au cas où ses interfaces réseaux sont désactivées, le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.

    Bien que surréalistes, les faits constatés par l'expert canadien ont été confirmés par Alex Stamos, cofondateur de iSEC Partners, et par Jeff Moss, créateur des conférences BlackHat et Defcon.

    L'expert canadien ne sait toutefois pas si badBIOS a été introduit dans son laboratoire par internet ou si une de ses clés USB avait été trafiquée. Quoiqu'il en soit, d'après ses propres dires, l'intrusion dont il a été victime définirait un nouvel état de l'art. Les investigations continuent.

    Source : Ars Technica

    Et vous ?

    Que pensez-vous de ce niveau de sophistication ?

    Qui pourrait être à l'origine d'une telle arme numérique ?

    La norme USB est-elle fondamentalement vulnérable ?

  2. #2
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    avril 2012
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2012
    Messages : 16
    Points : 20
    Points
    20
    Par défaut
    Encore une nouvelle évolution pour les virus, et pas des moindres !

    Le plus important dans tout cela serait de connaitre le but final de ce virus pour que ces concepteurs se soient donnés autant de mal pour qu'il ne soit pas désactivé.

  3. #3
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    8 267
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 8 267
    Points : 26 764
    Points
    26 764
    Par défaut
    communiquer par la carte son, mais oui fallait y penser, mais qu'est-ce qu'on s'embête avec du BlueTooth et du Wifi franchement !

    Jacob Kaplan-Moss, co-creator of Django, makes an interesting point on MetaFilter regarding communications via audio channels as described by Ruiu.

    “The theoretical bandwidth for audio-based networking is something like 600 bytes per second. (And I think to get that rate you'd need to send data in using audible frequencies, so you'd hear your speakers squealing like a modem),” Kaplan-Moss noted.

    “That's two seconds for a single TCP packet. It would take quite a long time to distribute anything, especially a virus as sophisticated as the one he's alleging,” he added.

    “If the ‘virus’ is really communicating over audio, the equipment necessary to detect this is even cheaper: a freaking microphone. He hasn't made any attempt to capture the ‘networking’; that's super-suspect.”

    So is badBIOS real or a hoax? Time will tell. Ruiu will either have to provide some concrete evidence or allow others to take a crack at the allegedly infected computers, or he’ll have to come forward with a confession.
    http://news.softpedia.com/news/BadBI...x-396177.shtml
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  4. #4
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    895
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 895
    Points : 2 055
    Points
    2 055
    Par défaut
    les HP d'un portable ont suffisamment de bande passante pour emmètre en ultrason ? et idem pour le micro qui peut recevoir de l'ultrason ? j'en doute. Faut des capteurs bien spécifiques pour gérer de l'ultrason. Ca sent le fake à plein nez cette histoire

  5. #5
    dsy
    dsy est déconnecté
    Membre habitué
    Profil pro
    Inscrit en
    septembre 2002
    Messages
    105
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2002
    Messages : 105
    Points : 141
    Points
    141
    Par défaut Bidon
    Une analyse détaillée :
    http://www.rootwyrm.com/2013/11/the-...ysis-is-wrong/

    En résumé, c'est bidon car :
    - UEFI n'est pas portable.
    - Les HP sont incapables d'émettre des ultrasons.

  6. #6
    Membre confirmé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2011
    Messages
    271
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Italie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2011
    Messages : 271
    Points : 491
    Points
    491
    Par défaut
    le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs
    Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!

  7. #7
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 388
    Points
    2 388
    Par défaut
    Curieuse histoire. Les détails concernant le malware logé dans le BIOS ou la transmission audio sont clairement fantaisistes, mais apparemment, le malware existe réellement.

  8. #8
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    novembre 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations forums :
    Inscription : novembre 2013
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Se mefier de ce qu'on lit sur le net...
    Hello!

    Pour le moment, tout ce qu'on lit sur le soit disant virus badBIOS ca provient de Ars Technica et du feed twitter d'un seul type : https://twitter.com/dragosr qui pour le moment n'a pas demontre grand chose.

    On peut lire deux analyses contradictoires ici :

    Sophos (l'editeur d'antivirus) : http://nakedsecurity.sophos.com/2013...ats-the-story/

    RootWyrm, le site web d'un specialiste securite : http://www.rootwyrm.com/2013/11/the-...ysis-is-wrong/

    Les deux analysent disent un peu la meme chose, et en particulier que pour le moment on n'a rien de sur. Et surtout beaucoup de choses qui semblent plus tirees de science fiction que de realite probable.

    Avant de ceder a la panique, il faut surtout attendre que les experts finissent de dire ce qu'il en est vraiment (realite ou arnaque pour se rendre visible)...

    Gilles.

  9. #9
    Expert éminent sénior

    Homme Profil pro
    pdg
    Inscrit en
    juin 2003
    Messages
    5 735
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : pdg

    Informations forums :
    Inscription : juin 2003
    Messages : 5 735
    Points : 10 558
    Points
    10 558
    Billets dans le blog
    3
    Par défaut
    Moi aussi je suis très sceptique.

    Je ne sais pas pour les machines Apple, mais flasher le BIOS d'un PC... Quand on voit la somme d'efforts et de difficultés pour le projet Coreboot, ça laisse rêveur que quelqu'un soit arrivés à créer une solution générique à toutes les cartes mères. A titre d'info, pour coreboot, les mecs ont codé un compilateur spécial qui n'utilise que les registres du CPU : pas de RAM ni de pile !

    Mais bon, admettons. Je me demande quand même comment le BIOS arrive ensuite à modifier l'OS pour utiliser le CPU,effacer des données, etc... Tout ça sur 4 familles d'OS différents !!

  10. #10
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    839
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 839
    Points : 1 831
    Points
    1 831
    Par défaut
    Je reste sceptique sur les performances du virus. Mais je ne doute pas qu'un état comme les USA ou la Chine ont les moyens et l'envie suffisante de tout contrôler qu'ils aient franchis le pas. Je serais moi même un état, je voudrais une armée dans les télécoms, j'aurais fait de même.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  11. #11
    Membre confirmé
    Profil pro
    Inscrit en
    décembre 2006
    Messages
    176
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2006
    Messages : 176
    Points : 476
    Points
    476
    Par défaut
    Citation Envoyé par Voïvode Voir le message
    le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.
    J'ai du mal a saisir la logique de la chose. C'est un peu genre "j'ai chanté, il s'est mis à pleuvoir alors je contrôle la météo".

  12. #12
    Membre éprouvé Avatar de jmnicolas
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2007
    Messages
    422
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Transports

    Informations forums :
    Inscription : juin 2007
    Messages : 422
    Points : 940
    Points
    940
    Par défaut
    Autant l'infection de l'UEFI ne me surprend pas plus que ça (bien que ça soit déjà du très haut niveau) autant la communication par ultra-sons ça fait sonner mon alarme à "mytho" ...

    Vu la virulence de ce virus, son découvreur ne devrait pas avoir de mal à le partager afin qu'on puisse infirmer ou confirmer ses dires.
    The greatest shortcoming of the human race is our inability to understand the exponential function. Albert A. Bartlett

    La plus grande lacune de la race humaine c'est notre incapacité à comprendre la fonction exponentielle.

  13. #13
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    895
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 895
    Points : 2 055
    Points
    2 055
    Par défaut
    Du gros mytho cette affaire, je comprends même pas (et ça me navre) que ce soit relayé ici.

  14. #14
    Membre expérimenté

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    505
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 505
    Points : 1 451
    Points
    1 451
    Par défaut
    Citation Envoyé par fab256 Voir le message
    Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!
    Les logiciels anti-moustiques existent.
    Mais des logiciels anti-moustiques qui fonctionnent, je pense que tu auras du mal à en trouver.
    --
    vanquish

  15. #15
    Nouveau membre du Club
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    35
    Détails du profil
    Informations personnelles :
    Âge : 28
    Localisation : Canada

    Informations forums :
    Inscription : juillet 2009
    Messages : 35
    Points : 28
    Points
    28
    Par défaut
    J'avoue être impressionné par ceci : <<le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs>>

    C'est vraiment ingénieux je crois. Mais que fait-il au juste? Il envoie un stream de bits? Quand même, il faut que le micro d'une autre machine soit activé et qu'un programme écoute pour s'en servir et aussi capte les bons sons parmi l'ensemble de possibilités de sons durant le temps.

    Depuis Stuxnet, on assiste à une nouvel conception des programmes malicieux. Ils sont programmés pour survive comme des êtres vivants, comme des organismes. Ils se servent autant de leur environnements physique que virtuel. Sans parler des possibilités d'adaptation, auto-programation et auto-réinstallation.

    Ça me fait peur, mais aussi je trouve ça fascinant.

  16. #16
    Membre éclairé
    Profil pro
    Inscrit en
    mars 2012
    Messages
    340
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2012
    Messages : 340
    Points : 788
    Points
    788
    Par défaut
    Hum ok donc là on a un concept révolutionnaire de transmission de données informatique entre 2 entité via les enceinte audio.

    C'est révolutionnaire, je conseillerais au type de déposer un brevet au plus vite

  17. #17
    Membre régulier
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    novembre 2008
    Messages
    65
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : novembre 2008
    Messages : 65
    Points : 124
    Points
    124
    Par défaut
    Je ne voudrais pas être mauvaise langue ...

    Mais un expert en sécurité qui n'arrive pas à désinfecter ses machines, ça fait tâche

  18. #18
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 948
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 948
    Points : 26 946
    Points
    26 946
    Par défaut
    Citation Envoyé par fab256 Voir le message
    Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!
    Citation Envoyé par vanquish Voir le message
    Les logiciels anti-moustiques existent.
    Mais des logiciels anti-moustiques qui fonctionnent, je pense que tu auras du mal à en trouver.
    Les logiciels anti-moustiques existent, et ils fonctionnent (comprendre ils s’exécutent ), mais de là à être efficace.
    D'autant plus qu'il a été démontré depuis longtemps que les-dits moustiques étaient totalement insensibles à ces ultra-soniques chasseurs de moustiques.

    Quant à la communication par ultra-son entre PC, quand on connait la bande passante et la dynamique des haut-parleurs et micro standard en informatique, même pas capable de reproduire correctement les aiguës audibles, j'imagine la gueule des algorithmes de filtres numériques derrière le micro pour réussir à récupérer une information exploitable.

    Citation Envoyé par Voïvode Voir le message
    Il y a trois ans,
    Ah oui, quand même. Et il a pas pensé à difuser l'info avant, non ?
    Citation Envoyé par Voïvode Voir le message
    de son MacBook Air
    Pas futé, le gars, il aurait pu choisir Windows pour être plus crédible.
    Citation Envoyé par Voïvode Voir le message
    Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…
    Ouais, ouais, ouais. On connais tous à quel points les systèmes Apple sont fermé, j'imagine que le firmware ne peut être installé que depuis un serveur Apple. C'est donc les serveurs Apple qui auraient été infectés ?
    Ah mais c'est vrai, il n'est dit nulle part que c'était le firmware qui était infecté, c'était juste une coïncidence....

    Citation Envoyé par Voïvode Voir le message
    Les machines refusaient de démarrer sur autre chose que le disque principal et,
    Ouais, en gros comme toutes les machines, même saines, quoi !

    Citation Envoyé par Voïvode Voir le message
    avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés !
    Alors là, ça par contre ça m’intéresse. Arrivé à avoir une activité réseau sans réseau c'est génial, ça résoudrait pas mal de problèmes quand les connexions tombent sans raison.
    Je pense qu'il faut breveter illico.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  19. #19
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    772
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 772
    Points : 2 679
    Points
    2 679
    Par défaut
    Un tel virus devrait avoir l'équivalent de pilotes universels ainsi que les protocoles associés codés en dur dans son p'tit code... Cela implique de facto un virus de plusieurs méga. Un tel monstre aurait été repéré depuis longtemps. M'est avis que les experts confondent de bons gros bugs comme seul Apple sait en faire.

  20. #20
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2005
    Messages : 2 898
    Points : 7 611
    Points
    7 611
    Par défaut
    Communication par ultrason, flash direct du bios (c'est une opération non triviale), utilisation du réseau et d'internet alors que tout est coupé, là on est dans un roman de Stephen King avec une machine possédée .
    Je me demande si tout ceci part d'un fond de sérieux juste exagéré, ou si c'est pas carrément une légende comme le soi-disant virus qui déssoudait les câbles du disque dur il y a 15-20 ans.

Discussions similaires

  1. Les 10 erreurs les plus stupides faites par les admin réseau ?
    Par Community Management dans le forum Sécurité
    Réponses: 87
    Dernier message: 28/09/2020, 17h18
  2. Réponses: 31
    Dernier message: 23/12/2013, 15h41
  3. Réponses: 7
    Dernier message: 23/09/2009, 11h02
  4. Réponses: 0
    Dernier message: 06/07/2009, 22h38
  5. Comment les BIOS sans piles retenaient les paramètres
    Par beegees dans le forum Composants
    Réponses: 27
    Dernier message: 20/03/2007, 22h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo