Discussion :

[Davidbrcz]

On savais déjà qu'en cas d'accès physique, la sécurité d'une machine était très réduite. Mais cela va s'aggraver !

Regardez ce que je viens de trouver :

Le bootkit est un programme qui se lance au démarrage de l’ordinateur, qui s’injecte dans le le noyau de Windows et le patche joyeusement pour ensuite fournir un accès complet de votre machine à un programme démoniaque ou à un méchant cracker. Evidement, même si votre partition est chiffrée (avec TrueCrypt par exemple), le bootkit s’en contrefiche car il s’injecte au moment du boot (donc via la MBR – Master Boot Record qui est la partition de boot) qui elle n’est pas chiffrée et contient les informations de déchiffrement de votre partition supposée inviolable.

Lors de la Black Hat USA de cette année, l’équipe à l’origine de Stoned Bootkit a présenté cette version open source et téléchargeable en ligne qui devrait intéresser à la fois les crackers et les gouvernements en mal d’espionnage…

Cette version fonctionne sous Windows XP, Server 2003, Vista, Server 2008 et même Windows 7. Elle sait lire les partitions Fat et NTFS (Les linuxiens y échappent donc pour le moment) et passe outre toutes les protections offertes par TrueCrypt. Stoned Bootkit reste très intéressant car distribué sous forme d’un LiveCD, il permet d’y intégrer ses propres programmes ou plugins afin de faire tout ce que vous voulez sur la machine…

En gros, vous arrivez devant le PC le mieux sécurisé de la terre, vous mettez votre CD bootable ou votre clé USB dedans, vous bootez dessus, et même si tout le disque dur de cet ordinateur est chiffré avec une clé à 4096 bits (ou plus), vous pouvez y déposer ce que vous voulez, qui sera alors automatiquement exécuté lors du lancement de Windows… Un virus, un programme pour récupérer des mots de passe ou encore un trojan ou un keylogger… James Bond va bien s’amuser avec cette technologie.

Malheureusement pour nous tous, impossible de nous en protéger… Même les sécurités hardware n’y feront rien, car même si la MBR est chiffrée et accessible uniquement par un BIOS sécurisé, votre ordinateur bootera fatalement sous Windows. Le bootkit pourra alors se mettre en place à ce moment là, et lors du prochain reboot, fera sa besogne (car chiffré en même temps que la MBR)

Pas vraiment de solution donc…

La prochaine version de Stoned Bootkit gérera le 64 bits, saura infecter tous les disques physiques (autorun USB, cartes mémoires…Etc), autorisera une infections permanentes du BIOS et si c’est pas trop instable, Linux sera supporté ! Argh !

De quoi faire des cauchemars…

Tout est là

Pensez vous qu'on va voir apparaitre des vagues de virus imbloquable ?

[Skyounet]

Non.

Le fait que tu puisses accéder aux partitions pour y mettre n'importe quoi est très dangereux, mais les virus que tu y déposera seront détectés par ton AV.

La "beauté" ce ce programme réside dans le fait de bypasser TrueCrypt

Ensuite les ordinateurs potentiellement intéressant pour utiliser cette technique contiennent généralement un password pour l'accès au BIOS et le boot sur CD/USB est désactivé.

A noter que Bitlocker (système de protection made in MS présent des les versions Pro et > de Vista et 7) empêche l'utilisation de ce rootkit.

[LooserBoy]

Le fait que tu puisses accéder aux partitions pour y mettre n'importe quoi est très dangereux, mais les virus que tu y déposera seront détectés par ton AV.

Voyons un peu le mal partout:
Je pourrais très bien mettre un programme qui force l'AV à ne pas scanner la machine et à le forcer à dire que tout est bon.
Ensuite, je peux mettre toutes les cochonneries (car tout est bon dans le cochon ) possibles et inimaginables.

Ensuite les ordinateurs potentiellement intéressant pour utiliser cette technique contiennent généralement un password pour l'accès au BIOS et le boot sur CD/USB est désactivé.

Ou pas... J'en ai vu des horreurs et erreurs de sécurité sur des serveurs/stations de travail particulièrement critiques...

[Skyounet]

Voyons un peu le mal partout:
Je pourrais très bien mettre un programme qui force l'AV à ne pas scanner la machine et à le forcer à dire que tout est bon.

Oui mais le rootkit n'est pas d'une grande utilité ici. Autant envoyer son virus par mail ou allumer la machine normalement.

Bon après je sais pas du tout comment marche TrueCrypt ni le rootkit.

[Jean-Philippe Dubé]

Les virus dans le MBR sont une solution qui existe de plus plusieurs années. Aussi les bons antivirus peuvent détecter une modification sur le MBR. Aussi, je ne vois pas de cohérence entre la possibilité d'infecter le MBR et le bypass du cryptage. De plus, prétendre que les informations pour décrypter le disque crypté sont toutes présentes sur le MBR est du délire pur et simple. Le principe du cryptage est qu'il faut connaitre le secret (comme un mot de passe par exemple) pour pouvoir accéder au contenu. Sans cela, l'accès aux données est tout simplement impossible.