Malware: badBIOS, le malware dont l'existence même fait polémique !

C'est le ramdam du jour : un malware, appelé badBIOS, serait capable d'effectuer des choses que certains ne peuvent même pas imaginer, comme infecter les firmwares des ordinateurs (BIOS, EFI, UEFI), les firmwares des clés USB et même se propager sans que la machine soit connectée.

Un malware « omnipotent »

Selon Dragos Ruiu, un chercheur en sécurité réputé, badBIOS a plusieurs fonctions. Le malware aurait infecté son MacBook Air il y a 3 ans, et empêcherait la machine de démarrer d'un CD. Il attaquerait plusieurs systèmes d'exploitation (Mac OS X, OpenBSD, des distributions Linux, Windows) et communiquerait en utilisant du trafic réseau en IPv6 même si la technologie est désactivée.

Plus étonnant, le malware arriverait à s'implanter dans le firmware des ordinateurs, que ce soit un BIOS, un EFI (comme chez Apple) ou un UEFI, comme sur les PC récents. Et un des vecteurs de transmission serait des clés USB, badBIOS serait capable de modifier le firmware des clés USB pour se répliquer. L'autre technique serait encore plus étonnante : le malware serait capable de communiquer en utilisant la carte son de l'ordinateur, en envoyant des données à hautes fréquences qui serait récupérées par le micro d'un autre ordinateur.

Le principal problème, qui fait douter beaucoup d'experts, c'est qu'il n'y a pas de preuves tangibles de l'existence du programme. Il n'y a pas de dump d'une ROM avec un BIOS infecté, le malware serait capable de supprimer les données compromettantes que l'on essaye de graver, etc.

Ce qui est intéressant dans les analyses, c'est que beaucoup considèrent que ce que présente Dragos Ruiu ne peut pas exister en l'état, mais que toutes les techniques présentées existent bien. Expliquons.

Des techniques possibles

Infecter le firmware de plusieurs ordinateurs différents est une gageure : il existe différents types de BIOS, différents types d'UEFI et même quelques firmwares (comme chez Apple) qui sont propriétaires. Qu'un logiciel soit capable de flasher un firmware et de s'intégrer dans le code n'est pas une nouveauté : des firmwares modifiés existent, que ce soit pour la carte mère, une carte Ethernet ou même un contrôleur Bluetooth. Qu'un logiciel soit capable de flasher différents modèles de firmware sans se faire détecter et sans planter une partie significative des machines (ne serait-ce que parce que les firmwares évoluent) est considéré comme irréalisable. Une des raisons est que le fonctionnement des différents firmwares varie énormément, mais la principale est plus pragmatique : les puces qui stockent le firmware ont une capacité limitée. Dans le meilleur des cas, la puce fait 8 Mo, et une partie est occupée par le firmware. Qui plus est, il est assez simple de dumper le contenu d'une ROM et de l'analyser, ce qui n'a pas été effectué ici.

Pour les clés USB, les mêmes limites se posent : s'il est techniquement possible de modifier le firmware d'une clé USB (ou même d'un lecteur optique externe), il y a énormément de modèles de contrôleurs et la puce contenant le firmware ne permet pas de stocker un logiciel aussi perfectionné. Et si le malware s'installait sur une partie de la mémoire flash, il serait détectable d'une façon ou d'une autre.

De même, si les technologies qui permettent de communiquer en utilisant les ondes sonores sont courantes — c'est le principe des modems, et des appareils aussi anodins qu'un Furby communiquent de cette façon —, ce que le chercheur présente est assez inhabituel. La première raison, c'est que les firmwares n'ont généralement pas accès aux contrôleurs audio directement : un BIOS ne peut tout simplement pas utiliser votre micro ou vos haut-parleurs directement. Dans certains cas (rares), il est possible d'émettre un son au démarrage (le fameux bong des Mac) mais il faut que les données soient dans la ROM de la machine, ce qui les rend détectables. L'autre raison, pragmatique, c'est que les haut-parleurs et microphones des ordinateurs sont tout simplement souvent incapables de travailler dans des fréquences inaudibles. Si certains modèles sont capables d'atteindre 24 kHz, les micros sont souvent limités à 14 kHz. Plus simplement, dans la majorité des cas, il faut émettre un signal audible pour que ça fonctionne, et les débits restent très faibles.

Un malware ou un accès de paranoïa ?

Le vrai problème est donc là : tout est techniquement possible, mais il y a des limites qui semblent insurmontables pour certains. De plus, il n'y a pour le moment pas de preuves concrètes de l'existence même de ce malware, alors qu'il serait possible d'en fournir assez simplement. On peut donc supposer, comme certains, que badBIOS n'existe tout simplement pas, ou — comme d'autres — émettre des doutes. Ou tout simplement attendre que la personne qui a découvert badBIOS fournisse des preuves tangibles de ce qu'il avance. En attendant, on peut considérer cette annonce du FUD (peur, incertitude, doute) tout en gardant à l'esprit que les techniques que badBIOS utiliserait existent toutes.

P.S. les fabricants se font t'il hacker leurs propres bios par des ingénieurs corrompus,ou bien par des intermédiaires douteux,qui font du reverse-ingenering pour donner en pâture au scrip-kiddies?

REF.: