Ce n’est que la deuxième fois que cela se produit: des pirates ont réussi à intégrer des logiciels malveillants dans UEFI, le firmware qui connecte la carte mère au système d’exploitation. C’est le pire scénario possible et l’éditeur Kaspersky en a découvert une nouvelle forme sur deux ordinateurs.
La chasse aux malwares est le quotidien des experts en sécurité de tout éditeur deantivirus. Chaque jour, de nouveaux ennemis apparaissent; vous devez les trouver et les comprendre avant d’apprendre à les éliminer. Chez Kaspersky, le dernier virus découvert est le pire espèce, et ce n’est d’ailleurs que la deuxième fois qu’un tel spécimen apparaît. MosaïqueRégresseur est un malware caché dans UEFI, et c’est aussi rare que dangereux.
L ‘UEFA (Extensible unifié Micrologiciel Interface), c’est l’interface qui a pris le relais du Bios (Système d’entrée-sortie de base), avec des fonctions plus avancées. C’est ce firmware, installé sur la carte mère, qui se lance au démarrage pour faire communiquer tous les composants entre eux, mais aussi et surtout pour accéder et lancer le système opérateur. Il ne peut pas être modifié car il est lié au carte mère, et pour l’améliorer, nous pouvons simplement le mettre à jour. Cette opération est appelée « clignotant » car elle est installée sur un composant de mémoire flash.
Un cheval de Troie sophistiqué
le inquiéter est que les pirates ont réussi à se glisser dans cette mémoire, et c’est le pire scénario possible pour la simple raison que l’UEFI se lance avant le système d’exploitation. C’est comme si un virus glissé dans le carburant d’un voiture lors de la mise du contact. Jusqu’à présent, MosaicRegressor a été vu sur deux des ordinateurs seulement, tous deux appartenant à des diplomates asiatiques.
À chaque démarrage, MosaicRegressor vérifie si son fichier malveillant «IntelUpdate.exe» se trouve dans le dossier de démarrage de Windows. Sinon, il ajoute le fichier. Il agit ainsi comme un cheval de Troie, et il peut alors prendre le contrôle de l’ordinateur et installer ce qu’il veut. Sans que l’utilisateur se rende compte de sa présence. Kaspersky n’a pas encore identifié tous les dommages causés, mais le malware peut, par exemple, récupérer des fichiers à partir des systèmes sur lesquels il est installé.
Espionnage simple
Dans le code du virus, il y a des indications que les pirates informatiques viennent de Chine et que pour parvenir à leurs fins, ils ont dû mettre à jour le firmware de la carte mère. Une opération complexe, parfois vouée à l’échec, et qui nécessite forcément un accès à l’ordinateur ciblé. Ce n’est donc pas par l’Internet que le virus est transmis, mais d’un ordinateur à l’autre, via une clé ou un disque USB avec un firmware toxique de l’UEFI.
Récemment, Kaspersky a intégré une protection capable de scanner si du code malveillant se trouve sur ce composant, et selon les chercheurs de cet éditeur, il s’agit probablement du travail d’espions. Pour le moment, le grand public n’est pas concerné par les attaques de ce type. Mais le vrai danger serait que les pirates parviennent à infecter un serveur d’une grande entreprise ou d’une administration.
Vous serez également intéressé
Intéressé par ce que vous venez de lire?
