Badbios, le virus qu’on croyait qu’il n’existait pas mais qui n’existe

Actualités - Malware - Posté on 07 Nov 2013 at 10:54 par cnis-mag

Il fait des bonds, il fait des bonds, c’est le virus qui danse d’une machine à l’autre dans les laboratoires de Dragos Ruiu. Le « scoop » vient de nos confrères d’Ars Technica et une grande partie de cet article fleure bon le battage avant une communication fracassante de CanSec ou de HITB.

De manière lapidaire, Badbios est un virus de science-fiction : multiplateforme, il vise aussi bien les systèmes sous OS/X que Windows, et même ceux sous BSD administrés par quelques happy few. Les mécanismes de propagation de cette infection reposeraient sur des canaux peu communs : IPv6 (y compris lorsque ce protocole est désactivé), mais également les échanges de clefs USB (procédé plus classique) voir même les liens Bluetooth ou Wifi. Pis encore, lorsque tous les câbles sont débranchés (cordon secteur et brin Ethernet), que les modules radio sont éteints, l’engeance semblerait se propager d’une machine à l’autre en utilisant les micros et haut-parleurs des ordinateurs.

Dernière adresse connue : le Bios de la machine, ce qui explique en partie son nom. D’un point de vue technique, la chose n’est pas impossible, puisque des chercheurs Français, Jonathan Brossard et Florentin Demetrescu, étaient, avec Rakshasa, parvenus à infecter à distance une machine en injection une version modifiée d’un bios Open Source Coreboot.

Sur un plan pratique, il est également possible qu’un virus se propage par le truchement d’une clef USB (Stuxnet est l’un des plus célèbres du genre), d’un lien Bluetooth (les vendeurs d’antivirus pour terminaux mobiles tentent désespérément de nous le faire croire), Wifi… et même audio ou optique. De la « diode led qui bat au rythme des touches clavier activées » aux perturbations radioélectriques du scan clavier, en passant par les spectres rayonnés par une carte contrôleur de disque dur, tout est exploitable, avec plus ou moins de difficultés. Une carte son d’ordinateur est, de nos jours, capable d’émettre un spectre situé bien au-delà de ce que l’humain peut entendre : 192 kHz en général, à comparer aux quelques malheureux 20 kHz de l’oreille humaine. Qui donc serait capable de déceler un tel dialogue ?

Manifestement au moins un homme, Dragos Ruiu en personne, qui n’a pu bloquer une propagation de Badbios qu’en débranchant toutes les extensions possible de ses ordinateurs, haut-parleurs et micros y compris.

Donc tout est possible si l’on prend chaque attaque à part et que l’on tente l’exploit dans un cadre particulier. Mais combiner le tout en un unique vecteur d’attaque pluridisciplinaire, multimédia et polymorphe, voilà qui relève du malware mythologique, de l’attaque improbable. Emettre le virus est chose simple, puisque par définition, le propagateur est déjà « infecté ». Mais faire en sorte que la machine-cible passe en état d’écoute, quel que soit le médium utilisé (Ethernet, audio, wifi, Bluetooth, USB…), voilà qui est un peu plus complexe. Il faut (souvenons-nous de certaines attaques Wifi du Month of Apple Bug) avoir connaissance d’une faille « kernel driver ». Et pas qu’une seule, et pas sur un seul noyau. Bref, un vecteur d’attaque qui saurait exploiter faire passer une clef de stockage pour un HID tant sous BSD que sous Windows ou OS/X, qui pourrait télécommander « l’écoute» d’une carte son (une voie ignorée des antivirus) Wifi (là, les antivirus sont efficaces… s’ils possèdent une signature) ou Bluetooth, ce serait encore plus fort que Stuxnet et Oudini réunis.
L’annonce de Dragos Ruiu aura eu au moins l’avantage de faire rêver les journalistes et améliorer les ventes de billet des organisateurs des quelques prochaines « hacking conferences ».

1 commentaire

Laisser une réponse