juin 16th, 2015

Encore un super-virus immortel

Posté on 16 Juin 2015 at 11:00

« Allez, dite un nombre, entre un et dix millions, et on infecte tout, tout de suite »
écrivent ironiquement Xeno Kovah et Corey Kallenberg dans leur communications CanSecWest. Quelques jours après la publication du bootkit caché dans le firmware des disques durs, voici le retour du virus-bios.

Ce genre d’exploit n’est pas franchement nouveau, puisque les études signées Wojtczuk/Rutkowska (pour ne mentionner que les plus connus) avaient déjà soulevé la possibilité de ce genre de risque. Mais cette fois, insistent les deux chercheurs, il ne s’agit plus d’une attaque ne visant qu’un seul Bios, une seule marque d’ordinateur, mais pratiquement tout ce qui se fait à la surface de la planète numérique.

Un virus-Bios peut tout pour plusieurs raisons, expliquent les deux chercheurs. Tout d’abord parce qu’il est situé dans un espace qui n’est pas vérifié par les principaux logiciels de sécurité. Ensuite parce que personne, y compris dans les secteurs des industries de pointe ou des organisations étatiques, ne songe à mettre à jour les microcodes des ordinateurs, laissant ainsi béantes des failles pourtant corrigées. Parce que la plupart des concepteurs de Bios utilisent à la fois des mécanismes communs et des espaces mémoire communs, offrant ainsi une surface d’attaque commune simplifiant des compromissions de masse. En raison, enfin, des mantras abrutissants des industriels du monde du « hardware » qui ne cessent de jurer la quasi invulnérabilité de leurs systèmes.

Les moyens d’exploitation reposent notamment sur le comportement du SMM (System Management Mode), un mode d’exécution propre à l’architecture X86, des SMI (System Management Interrupts) qui en dépendent, et de l’espace mémoire protégé dans lequel évolue le SMM (SMRAM). Protégé… jusqu’à un certain point, car parfois ces échanges s’étendent au-delà de cet espace privilégié et peuvent donc être compromis. Un exécutable appelé de l’extérieur par la SMRAM peut alors infecter le saint des saints. Une fois installé dans la mémoire eprom réservée au Bios (une simple SPI en général), le virus fonctionne alors en tâche de fond derrière le SMM et peut se permettre absolument tout ce qu’il est possible d’imaginer.

Les conséquences sont incalculables. « Même les systèmes réputés amnésiques et ne fonctionnant pas en mode « persistant » (les Tails, The amnesiac incognito live system) ou les systèmes « live » qui bootent sur des clefs USB) sont vulnérables, alors que, des années durant, leurs promoteurs affirment leur totale invincibilité préviennent les deux chercheurs. Font d’ailleurs partie du clan des promoteurs des systèmes Tails les principales centrales de renseignement, qui pourtant s’y connaissent un peu en matière de paranoïa et de manipulation de bootkits.

Afin de prouver leurs dires,Kovah et Kallenberg ont développé un PoC baptisé « light eater », dont la spécialité est de capturer en mémoire et au vol signatures des clefs GPG, les phrases de passe ou les emails déchiffrés (et pour cause, ils le sont nécessairement en RAM). Charge ensuite au malware soit d’expédier ce contenu dans un espace de stockage interne ou externe qui préservera ces données dès que le « système amnésique » est placé hors tension, soit de conserver ces données (les clefs de chiffrement notamment) dans la mémoire du SPI. De quoi donner des cauchemars à tous les RSSI qui travaillent pour Angela Merkel.

Le travail de Kovah et Kallenberg a ceci de remarquable qu’il contient à la fois les gènes d’un « mass virus » à diffusion mondiale et les caractéristiques de furtivité et de « customisation » d’une attaque ciblée.

A l’heure où est effectuée cette communication, plusieurs éditeurs ont réagi favorablement et pris la menace très au sérieux. Notamment HP, Dell, Lenovo, AMI, Insyde, Phoenix et Intel. N’auraient pas encore considéré la menace digne d’intérêt Apple, Microsoft, Samsung, LG, Acer, Asus, Fujitsu, Panasonic, NEC, Vaio, MSI et Gigabyte.

Salades d’espions en Allemagne

Posté on 16 Juin 2015 at 10:48

Le Président du Parquet Fédéral – chargé des affaires d’espionnage, de terrorisme et de haute trahison- a décidé d’abandonner les charges dans l’affaire des écoutes téléphoniques dont aurait été victime la Chancelière Angela Merkel en 2013. Les preuves, avancées par les documents Snowden, ne constitueraient pas de preuves suffisantes.

L’affaire avait fait grand bruit à l’époque, d’autant plus que les échanges téléphoniques de « Mutti » auraient été également enregistrés par les Russes, les Chinois mais également par les Britanniques.

Il faut dire que l’Allemagne, qui ferait partie au même titre que la France des extensions oculaires des services US, ne pourrait ouvertement accuser un allié qu’elle aiderait par ailleurs (depuis la seconde moitié des années 40 ?). D’autant plus qu’une enquête administrative publique pourrait soulever encore un peu plus la boue qui recouvre les pratiques barbouzesques du BND, et notamment son implication dans d’autres affaires visant des pays voisins, dont la France apprenait-on début mai dernier. D’ailleurs, la France, dans un formidable élan de mansuétude ne promettait-elle pas, à peine l’affaire rendue publique, un pardon inconditionnel ? Des fois qu’une protestation un tant soit peu énergique fasse découvrir aux reporters du Spiegel ou du Frankfurter Allgemeine Zeitung la présence de micros Français dans les bureaux de grands patrons ou hauts fonctionnaires d’Outre Rhin.

Ces « petits espionnages entre amis », loin de refroidir les relations entre pays alliés, semblent renforcer l’amitié indéfectible qui unit les clans du « bloc de l’Ouest ».

Et lorsque les espions portent d’autres uniformes que ceux des 9 Eyes ou 14 Eyes de la NSA* ? Et bien ça tourne au cauchemar. Perclus de spywares, rootkits, chevaux de Troie et autres cyber-agents dormants, les ordinateurs du Bundestag seraient bons à jeter à la poubelle. Même le BSI baisse les bras et recommande de « changer tout, du sol au plafond » nous apprend The Local.de. Le hack a été reporté par les chaines Nord et West Deutscher Rundfunk, ainsi que par les médias nationaux Der Spiegel et Süddeutsche Zeitung. Le Gouvernement Fédéral ne dit mot… histoire de ne pas se mettre mal avec Vladimir Putine ou Xi Jinping, ouvertement dénoncés par tout ce qui porte une carte de presse entre les comptoirs de la Ligue Hanséatique jusqu’aux fins-fonds des tavernes Bavaroises.

Le véritable « far west » Internet que dénoncent chaque jour les politiques est une réalité… et les coupables désignés (cyberpédophiles, technojihadistes, mafieux des TIC) ne sont pas franchement les plus dangereux ni les plus agressifs … Mais on ne tape jamais sur un collègue de bureau, pas vrai ? Allez, encore un effort et une nouvelle loi anti-pirates pour faire oublier ces aspects peu ragoûtants de la cuisine diplomatique.

NdlC Note de la Correctrice : Les mathématiques n’ont jamais été le fort de cette rédaction manifestement. Car si l’on compte tous les membres constituant le Centrixs-Isaf, cela fait 41 yeux. S’ils continuent à se surveiller mutuellement, ça doit certainement tourner au « full time job ». C’est les Chinois et les Russes qui vont apprécier : tant qu’ils se chamaillent, ils ne pensent pas à autre chose.

Publicité

MORE_POSTS

Archives

juin 2015
lun mar mer jeu ven sam dim
« Jan   Juil »
1234567
891011121314
15161718192021
22232425262728
2930