Discussion :

[Voyvode]

badBIOS, le rootkit qui infecte les BIOS et communique par les airs
Windows, OS X, Linux et BSD sont tous vulnérables.

L'expert en sécurité canadien Dragos Ruiu est victime depuis quelques années des turpitudes d'un rootkit inconnu (qu'il a surnommé badBIOS) particulièrement coriace et évolué.

Il y a trois ans, Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…

Les machines refusaient de démarrer sur autre chose que le disque principal et, beaucoup plus étrange, avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés ! Le plus inquiétant étant que le rootkit semblait même résister à une réinitialisation complète (firmware compris).

L'affaire commence à être tirée au clair depuis environ un mois lorsque Ruiu remarqua qu'une machine neuve fut infectée après l'insertion d'une clé USB (à l'image de Stuxnet). Le fonctionnement de badBIOS est encore mal compris, mais l'hypothèse la plus probable est que le microcontrôleur de la clé USB a été reprogrammé pour injecter directement une version minimale de badBIOS dans le firmware. La machine infectée va télécharger une version du rootkit adaptée à son système (Windows, OS X, Linux ou BSD), puis contamine ensuite les autres machines du réseau. Les machines infectées forment alors un ensemble s'assurant mutuellement que le rootkit reste opérationnel, annulant toute tentative de neutralisation.

Une machine infectée ne démarre que sur son disque principal pour compliquer encore l'élimination de badBIOS et, au cas où ses interfaces réseaux sont désactivées, le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.

Bien que surréalistes, les faits constatés par l'expert canadien ont été confirmés par Alex Stamos, cofondateur de iSEC Partners, et par Jeff Moss, créateur des conférences BlackHat et Defcon.

L'expert canadien ne sait toutefois pas si badBIOS a été introduit dans son laboratoire par internet ou si une de ses clés USB avait été trafiquée. Quoiqu'il en soit, d'après ses propres dires, l'intrusion dont il a été victime définirait un nouvel état de l'art. Les investigations continuent.

Source : Ars Technica

Et vous ?

Que pensez-vous de ce niveau de sophistication ?

Qui pourrait être à l'origine d'une telle arme numérique ?

La norme USB est-elle fondamentalement vulnérable ?

[Jejeleponey]

Encore une nouvelle évolution pour les virus, et pas des moindres !

Le plus important dans tout cela serait de connaitre le but final de ce virus pour que ces concepteurs se soient donnés autant de mal pour qu'il ne soit pas désactivé.

[Paul TOTH]

communiquer par la carte son, mais oui fallait y penser, mais qu'est-ce qu'on s'embête avec du BlueTooth et du Wifi franchement !

Jacob Kaplan-Moss, co-creator of Django, makes an interesting point on MetaFilter regarding communications via audio channels as described by Ruiu.

“The theoretical bandwidth for audio-based networking is something like 600 bytes per second. (And I think to get that rate you'd need to send data in using audible frequencies, so you'd hear your speakers squealing like a modem),” Kaplan-Moss noted.

“That's two seconds for a single TCP packet. It would take quite a long time to distribute anything, especially a virus as sophisticated as the one he's alleging,” he added.

“If the ‘virus’ is really communicating over audio, the equipment necessary to detect this is even cheaper: a freaking microphone. He hasn't made any attempt to capture the ‘networking’; that's super-suspect.”

So is badBIOS real or a hoax? Time will tell. Ruiu will either have to provide some concrete evidence or allow others to take a crack at the allegedly infected computers, or he’ll have to come forward with a confession.

http://news.softpedia.com/news/BadBI...x-396177.shtml

[nirgal76]

les HP d'un portable ont suffisamment de bande passante pour emmètre en ultrason ? et idem pour le micro qui peut recevoir de l'ultrason ? j'en doute. Faut des capteurs bien spécifiques pour gérer de l'ultrason. Ca sent le fake à plein nez cette histoire

[dsy]

Une analyse détaillée :
http://www.rootwyrm.com/2013/11/the-...ysis-is-wrong/

En résumé, c'est bidon car :
- UEFI n'est pas portable.
- Les HP sont incapables d'émettre des ultrasons.

[fab256]

le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs

Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!

[Traroth2]

Curieuse histoire. Les détails concernant le malware logé dans le BIOS ou la transmission audio sont clairement fantaisistes, mais apparemment, le malware existe réellement.

[ggravier]

Hello!

Pour le moment, tout ce qu'on lit sur le soit disant virus badBIOS ca provient de Ars Technica et du feed twitter d'un seul type : https://twitter.com/dragosr qui pour le moment n'a pas demontre grand chose.

On peut lire deux analyses contradictoires ici :

Sophos (l'editeur d'antivirus) : http://nakedsecurity.sophos.com/2013...ats-the-story/

RootWyrm, le site web d'un specialiste securite : http://www.rootwyrm.com/2013/11/the-...ysis-is-wrong/

Les deux analysent disent un peu la meme chose, et en particulier que pour le moment on n'a rien de sur. Et surtout beaucoup de choses qui semblent plus tirees de science fiction que de realite probable.

Avant de ceder a la panique, il faut surtout attendre que les experts finissent de dire ce qu'il en est vraiment (realite ou arnaque pour se rendre visible)...

Gilles.

[Aurelien.Regat-Barrel]

Moi aussi je suis très sceptique.

Je ne sais pas pour les machines Apple, mais flasher le BIOS d'un PC... Quand on voit la somme d'efforts et de difficultés pour le projet Coreboot, ça laisse rêveur que quelqu'un soit arrivés à créer une solution générique à toutes les cartes mères. A titre d'info, pour coreboot, les mecs ont codé un compilateur spécial qui n'utilise que les registres du CPU : pas de RAM ni de pile !

Mais bon, admettons. Je me demande quand même comment le BIOS arrive ensuite à modifier l'OS pour utiliser le CPU,effacer des données, etc... Tout ça sur 4 familles d'OS différents !!

[abriotde]

Je reste sceptique sur les performances du virus. Mais je ne doute pas qu'un état comme les USA ou la Chine ont les moyens et l'envie suffisante de tout contrôler qu'ils aient franchis le pas. Je serais moi même un état, je voudrais une armée dans les télécoms, j'aurais fait de même.

[niarkyzator]

le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs. Ruiu a en effet constaté qu'un portable ne pouvait être complètement isolé qu'en désactivant aussi son équipement audio.

J'ai du mal a saisir la logique de la chose. C'est un peu genre "j'ai chanté, il s'est mis à pleuvoir alors je contrôle la météo".

[jmnicolas]

Autant l'infection de l'UEFI ne me surprend pas plus que ça (bien que ça soit déjà du très haut niveau) autant la communication par ultra-sons ça fait sonner mon alarme à "mytho" ...

Vu la virulence de ce virus, son découvreur ne devrait pas avoir de mal à le partager afin qu'on puisse infirmer ou confirmer ses dires.

[nirgal76]

Du gros mytho cette affaire, je comprends même pas (et ça me navre) que ce soit relayé ici.

[vanquish]

Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!

Les logiciels anti-moustiques existent.
Mais des logiciels anti-moustiques qui fonctionnent, je pense que tu auras du mal à en trouver.

[Itachi_93]

J'avoue être impressionné par ceci : <<le rootkit utilise enceintes et micro pour communiquer par ultrasons avec d'autres machines infectées dans les environs>>

C'est vraiment ingénieux je crois. Mais que fait-il au juste? Il envoie un stream de bits? Quand même, il faut que le micro d'une autre machine soit activé et qu'un programme écoute pour s'en servir et aussi capte les bons sons parmi l'ensemble de possibilités de sons durant le temps.

Depuis Stuxnet, on assiste à une nouvel conception des programmes malicieux. Ils sont programmés pour survive comme des êtres vivants, comme des organismes. Ils se servent autant de leur environnements physique que virtuel. Sans parler des possibilités d'adaptation, auto-programation et auto-réinstallation.

Ça me fait peur, mais aussi je trouve ça fascinant.

[coolspot]

Hum ok donc là on a un concept révolutionnaire de transmission de données informatique entre 2 entité via les enceinte audio.

C'est révolutionnaire, je conseillerais au type de déposer un brevet au plus vite

[glad33bx]

Je ne voudrais pas être mauvaise langue ...

Mais un expert en sécurité qui n'arrive pas à désinfecter ses machines, ça fait tâche

[sevyc64]

Il y'a bien un logiciel anti-moustique qui emet des ultra-sons pour chasser les moustiques. Enfin, si cette info est vrai, c'est vraiment fou!

Les logiciels anti-moustiques existent.
Mais des logiciels anti-moustiques qui fonctionnent, je pense que tu auras du mal à en trouver.

Les logiciels anti-moustiques existent, et ils fonctionnent (comprendre ils s’exécutent ), mais de là à être efficace.
D'autant plus qu'il a été démontré depuis longtemps que les-dits moustiques étaient totalement insensibles à ces ultra-soniques chasseurs de moustiques.

Quant à la communication par ultra-son entre PC, quand on connait la bande passante et la dynamique des haut-parleurs et micro standard en informatique, même pas capable de reproduire correctement les aiguës audibles, j'imagine la gueule des algorithmes de filtres numériques derrière le micro pour réussir à récupérer une information exploitable.

Il y a trois ans,

Ah oui, quand même. Et il a pas pensé à difuser l'info avant, non ?

de son MacBook Air

Pas futé, le gars, il aurait pu choisir Windows pour être plus crédible.

Ruiu fut notifié d'une mise à jour pour le firmware de son MacBook Air dont le système était fraichement installé. Depuis cette « mise à jour », la plupart des machines de son laboratoire montrèrent des signes évidents d'infection : paramétrages modifiés, pertes de données, utilisation processeur suspecte…

Ouais, ouais, ouais. On connais tous à quel points les systèmes Apple sont fermé, j'imagine que le firmware ne peut être installé que depuis un serveur Apple. C'est donc les serveurs Apple qui auraient été infectés ?
Ah mais c'est vrai, il n'est dit nulle part que c'était le firmware qui était infecté, c'était juste une coïncidence....

Les machines refusaient de démarrer sur autre chose que le disque principal et,

Ouais, en gros comme toutes les machines, même saines, quoi !

avaient une activité réseau alors même que Wi-Fi, Ethernet et Bluetooth étaient coupés !

Alors là, ça par contre ça m’intéresse. Arrivé à avoir une activité réseau sans réseau c'est génial, ça résoudrait pas mal de problèmes quand les connexions tombent sans raison.
Je pense qu'il faut breveter illico.

[23JFK]

Un tel virus devrait avoir l'équivalent de pilotes universels ainsi que les protocoles associés codés en dur dans son p'tit code... Cela implique de facto un virus de plusieurs méga. Un tel monstre aurait été repéré depuis longtemps. M'est avis que les experts confondent de bons gros bugs comme seul Apple sait en faire.

[_skip]

Communication par ultrason, flash direct du bios (c'est une opération non triviale), utilisation du réseau et d'internet alors que tout est coupé, là on est dans un roman de Stephen King avec une machine possédée .
Je me demande si tout ceci part d'un fond de sérieux juste exagéré, ou si c'est pas carrément une légende comme le soi-disant virus qui déssoudait les câbles du disque dur il y a 15-20 ans.