Lutter contre les logiciels malveillants avec un scan UEFI, ou « What’s it all about, UEFI? »

La réponse courte à la question du titre est qu’un scanner UEFI vise à vous aider à protéger votre ordinateur contre les personnes qui cherchent à s’en emparer en utilisant son interface UEFI (Unified Extensible Firmware Interface, ou « Interface de microprogramme extensible unifiée »). Une attaque réussie sur l’UEFI d’un système peut fournir à l’attaquant le contrôle complet de celui-ci, y compris la persistance, c’est-à-dire la capacité de maintenir secrètement un accès non autorisé à la machine même après le redémarrage ou le reformatage du disque dur.

Comme vous pouvez l’imaginer, cette forme de persistance est tout sauf vertueuse et peut prolonger la souffrance et les inconvénients entrainés par l’infection par code malveillant. Si votre logiciel de sécurité ne balaie que les lecteurs et la mémoire, et n’analyse pas l’UEFI, il est possible que votre ordinateur soit infecté à votre insu. Voilà pourquoi nous recommandons une solution de sécurité qui l’analyse, comme ESET.

Pourquoi mon appareil dispose-t-il d’UEFI?

Les appareils informatiques fonctionnent en exécutant du code : les instructions que nous appelons logiciel et qui instruisent le matériel, tel qu’un ordinateur portable ou un téléphone intelligent, à effectuer une tâche utile. Le code peut être transmis à l’appareil de plusieurs manières. Par exemple, il peut être lu à partir du stockage sur un disque, conservé en mémoire ou délivré via une connexion réseau. Mais lorsque vous allumez un appareil numérique, il doit commencer quelque part (bootstrap), et ce premier morceau de code est généralement stocké dans une puce sur l’appareil. Ce code, appelé microprogramme (ou firmware), peut inclure un auto-test au démarrage (ou POST, pour Power-On Self-Test). Ce POST vise à s’assurer que les choses fonctionnent correctement, et est suivi par le chargement en mémoire des instructions de base pour gérer les entrées et les sorties.

Si vous évolué dans le milieu de l’informatique depuis un certain temps, vous pourriez reconnaître ce code basé sur la puce comme étant du BIOS (Basic Input Output System, ou « système élémentaire d’entrée/sortie »). La technologie du BIOS remonte aux années 1970; il n’est donc pas surprenant qu’elle ait du mal à répondre aux exigences des ordinateurs d’aujourd’hui. Ce point a été soulevé par mon collègue Cameron Camp dans cet excellent article sur l’analyse UEFI. Comme l’explique Cameron, la technologie UEFI a évolué pour remplacer le BIOS, bien que certains périphériques se réfèrent encore à lui comme BIOS. (Je suis tenté de dire « Découvrez le nouveau BIOS, pareil à l’ancien BIOS » mais UEFI est significativement différent, et qui plus est, cet article a déjà un titre qui exploite une chanson classique : What’s it all about, Alfie?)

Voilà une bonne question pour la plupart des gens. La bonne réponse, quant à elle, dépendra de qui vous êtes.

Techniquement, UEFI est une spécification, gérée par l’Unified Extensible Firmware Interface Forum. Pour cette organisation, cette spécification définit un nouveau modèle pour l’interface entre les systèmes d’exploitation des ordinateurs personnels et les microprogrammes de plateforme. Elle « comprend des tables de données contenant des informations relatives à la plateforme, ainsi que des appels au service d’exploitation. » Sans entrer dans les détails techniques, l’UEFI a ajouté de nombreuses fonctionnalités au processus de démarrage, y compris des mesures de sécurité importantes (ces dernières sont abordées dans le livre blanc ESET référencé par cet article).

Malheureusement, les avantages illicites de la conception de code pouvant sournoisement prendre le contrôle d’un système au début du processus de démarrage – généralement appelé bootkit, sont une grande source de motivation pour les groupes et individus spécialisées dans l’accès non autorisé aux appareils numériques. Parmi ceux-ci, on retrouve des cybercriminels, des agences nationales et étrangères comme la NSA et la CIA et des entreprises privées qui vendent des « outils de surveillance » aux gouvernements.

Pour plus de détails, consultez cet excellent article de mon collègue d’ESET Cassius Puodzius à propos de ces « acteurs de la menaces » et de leur intérêt pour l’UEFI. Le thème plus général de l’évolution des bootkit, de leurs débuts jusqu’à 2012, est bien couvert par David Harley, Cchargé de recherche principal d’ESET, dans l’article suivant. Vous pouvez également consulter l’article Bootkits, Past, Present, and Future, qui a été présenté dans le cadre du Virus Bulletin 2014. Sans oublier, bien sûr, qu’on retrouve de nombreux documents techniques sur le site du Forum UEFI.

Alors, à quel point suis-je à risque d’UEFI?

Voilà une bonne question pour la plupart des gens. La bonne réponse, quant à elle, dépendra de qui vous êtes. Par exemple, êtes-vous quelqu’un dont l’ordinateur pourrait intéresser la NSA ou la CIA ou une autre entité gouvernementale disposant des ressources pour investir dans un code qui abuse des vulnérabilités de l’UEFI, que ce soit son propre code ou un produit commercial de surveillance acheté auprès d’un vendeur commercial? Utilisez-vous votre ordinateur pour développer, réviser ou gérer d’une autre manière la propriété intellectuelle qui vaut la peine d’être volée? Si vous avez répondu affirmativement à l’une ou l’autre de ces questions, je dirais que vous êtes plus à risque que la moyenne des gens de rencontrer des logiciels malveillants UEFI.

À l’heure actuelle, je ne connais pas de campagnes malveillantes à grande échelle utilisant les logiciels malveillants exploitant l’UEFI pour attaquer les systèmes informatiques du grand public (si vous en connaissez, veuillez nous partager les connaissances). Cependant, même si vous n’appartenez pas à une catégorie à haut risque, je crois fermement que vous avez besoin d’un logiciel de sécurité avec une capacité de numérisation UEFI. Pourquoi? Vous souvenez-vous de ces agences à trois lettres qui ont développé des attaques UEFI? Bien, elles n’ont pas une extraordinaire réputation en matière de garder leurs outils secrets. En fait, WannaCryptor, alias WannaCry est la plus grande nouveauté de l’année, et l’une des raisons pour lesquelles ce ransomware s’est répandu si vite était parce qu’il utilisait un exploit top secret développé par la NSA, une agence connue pour avoir utilisé des UEFI compromis.

En d’autres mots, nous ignorons quand une nouvelle campagne de logiciels malveillants utilisant l’UEFI pour s’installer avec persistance sur les systèmes compromis émergera. Ce que je peux affirmer, c’est que les gens qui effectuent des analyses UEFI sur une base régulière seront mieux préparés à protéger leurs systèmes contre ces futurs logiciels malveillants que ceux qui ne le font pas. Et voilà ce qu’est la raison d’être du balayage UEFI.

Les derniers produits de sécurité de pointe d’ESET incluent dorénavant un premier balayage UEFI de l’industrie.

Auteur Stephen Cobb, ESET