Lorsque Xeno Kovah et Corey Kallenberg dévoilent l’omnipotence de leur virus-Bios « light eater » à l’occasion de la dernière CanSecWest, les principaux fabricants d’ordinateurs réagissent et corrigent. Pensez-donc, un virus capable de s’installer dans pratiquement tous les Bios de la création, là où aucun antivirus ne peut agir, et contre lequel même les mécanismes de sécurité à la sauce Uefi ne peuvent rien. Tous ? Non ! Car un village peuplé d’irréductibles constructeurs résiste encore et toujours à l’envahisseur. Appleix, Microsoftix, Samsungum, Acera, Asusis, Fujitsix, Panasonix, NECplusultrass, Vaiorum, MSIX et Gigabus.
Il n’en fallait pas plus à Kovah pour concevoir un PoC spécifiquement destiné à attaquer la plateforme Apple. Pis encore, le chercheur a même forcé son talent jusqu’à imaginer un vecteur d’attaque pouvant se propager en infectant tout périphérique possédant également son propre Bios et, tant qu’à faire, profiter de la Black Hat Conference pour révéler toute l’histoire. Nouvelle plateforme, nouveau nom de baptême, puisque la preuve conceptuelle s’appelle désormais Thunderstrike2. Un nom lié au fait que son efficacité est foudroyante, et surtout que parmi les périphériques pouvant servir de vecteur de propagation se trouve l’adaptateur ethernet Thunderbolt. « Tout ce qui supporte une « option ROM » est susceptible d’être infecté » explique Kovah. « Et l’infection reste absolument indétectable. Peut-on imaginer un utilisateur, même le plus paranoïaque, tenter d’analyser les firmwares de tous ses équipements ? De la carte Ethernet au disque SSD, en passant par l’adaptateur RAID. Quand bien même aurait-il des outils génériques pour le faire, ce qui n’est absolument pas le cas à l’heure actuelle ».
Ce genre de « virus de science-fiction » est pourtant bien plus courant qu’il n’y paraît. Les « fichiers Snowden » ont clairement prouvé que la NSA dispose depuis longtemps d’un arsenal de bootkits Bios… et la NSA n’est pas le seul service de renseignement au monde. Même la tristement célèbre équipe Italienne Hacking Team utilisait un bootkit exploitant les Bios UEFI. Et à l’heure actuelle, il n’existe toujours pas d’antimalware capable de vérifier l’intégrité d’un firmware.
