BadBIOS ou BadSecurityAnalyst?

Sécurité

Exclusif

Une autre mini controverse est venue frapper le monde de la sécurité récemment. Vous me direz qu’à ce sujet, on en est pas à une près…

Ce à quoi je répondrai : «Pfff…», «Meh…», «Même pas vrai!», «Ah, pis p’têtre bien que oui finalement.»

Controverse donc, et pas n’importe laquelle. En fait, une controverse en deux temps.

Dragos Ruiu, un spécialiste en sécurité informatique mondialement reconnu, s’est récemment prononcé sur un comportement étrange qu’il a pu détecter au sein de plusieurs machines qu’il avait en sa possession. Il a identifié le tout comme étant un maliciel particulier qui s’attaquait au Basic Input / Output System (BIOS), au Extensible Firmware Interface (EFI), et plus récemment au Unified Extensible Firmware Inteface (UEFI).

En d’autres termes, le maliciel s’attaquerait directement à la composante logicielle qui a pour objectif d’initialiser et tester les composantes matérielles d’un ordinateur, et ce, peu importe le type de machine (Mac ou PC). De là le nom qu’il a choisi pour ce malaciel, soit BadBIOS.

Selon Ruiu, le maliciel se propage d’une machine à l’autre en exploitant les fréquences ultrasoniques émises par les haut-parleurs des ordinateurs. En d’autres mots, BadBIOS serait «aérobiose» et «aéroporté», si vous me permettez cette analogie liée au monde des microbes, virus, et autres désagréments du genre.

Un phénomène plutôt rare

En effet, il est plutôt difficile de faire des maliciels pour les BIOS, les EFI et les UEFI. Si ces logiciels sont parfois la cible d’attaques – on pense au maliciel Rakshasa par exemple – la majorité des problèmes liés à ces logiciels de démarrage provient généralement de manipulations effectuées par les utilisateurs, pour effectuer la mise à jour par exemple.

La raison expliquant cela tient au fait que (1) les logiciels permettant d’initialiser un ordinateur sont généralement difficiles à atteindre, et (2) l’écriture d’un maliciel attaquant ce genre de logiciel est aussi complexe. Pour illustrer le tout, disons simplement que le BIOS fonctionne en assembleur. Si vous avez quelques notions de programmation, vous savez que l’assembleur est loin d’être le langage de programmation le plus facile à maîtriser.

Un mécanisme de propagation qui soulève des questions

La deuxième partie de la controverse, et celle qui fait couler le plus d’encre, vient cependant de ce que Dragos Ruiu considère être le mécanisme de propagation.

Ruiu affirme avoir fait différents tests pour comprendre comment BadBIOS fonctionnait et se propageait. Or, ce qui revenait fréquemment dans ses tests est que peu importe ce qu’il faisait, il se rendait compte que ses machines étaient toujours infectées, et ce, même si les machines n’étaient pas connectées sur du WiFi, du Bluetooth, voire même la fiche électrique.

Le spécialiste en sécurité s’est donc mis à creuser pour savoir comment le soi-disant maliciel fait pour se propager. En testant empiriquement les données qu’il a colligées, Ruiu en est venu à la conclusion que le maliciel se propage d’une machine à l’autre en exploitant les fréquences ultrasoniques émises par les haut-parleurs des ordinateurs. La thèse de Ruiu est donc que le logiciel transmet ses commandes vers les autres ordinateurs en utilisant du langage machine. Le tout serait donc propagé par des sons compris par les machines se trouvant à proximité de la machine infectée et émettrice du signal sonore. En d’autres mots, BadBIOS serait «aérobiose» et «aéroporté», si vous me permettez cette petite analogie liée au monde des armes bactériologiques, virus, et autres désagréments du genre.

ll n’en fallait pas plus pour créer une polémique dans le monde de la sécurité. Certains se sont même demandé si Ruiu n’était pas devenu complètement fou.

Pour tenter de prouver ce qu’il avançait, ce dernier a décidé de rendre publiques ses données afin de les faire tester par la communauté. Disons les choses ainsi : les résultats ne sont pas «hors de tout doute raisonnable». Si pour plusieurs, la théorie de Ruiu se tient et est techniquement faisable, la question de ce qui se passe en réalité, elle, est loin d’être résolue.

En effet, certains spécialistes en sécurité ayant analysé les données fournies par Ruiu sont incapables de lui donner raison.

Réalité ou fiction?

Rogert Grimes, blogueur pour InfoWorld, s’est questionné à savoir si Dragos Ruiu avait réellement un «supermaliciel», ou si le spécialiste en sécurité avait tout simplement versé dans une paranoïa exagérée typique de ceux qui oeuvrent en sécurité. Disons que la conclusion de Grimes est qu’il n’existe pas de «supermaliciel».

Paul Roberts, un spécialiste reconnu oeuvrant dans le monde de la sécurité privé, a de son côté une vision plus nuancée de la chose. Il a déclaré que :

«La plupart des vecteurs d’attaques décrits par Ruiu sont techniquement possibles et, avec les bonnes circonstances, ils pourraient produire le genre d’infection difficile à détecter que ce dernier croit voir dans son réseau. Et, alors que les systèmes informatiques et les senseurs qu’ils contiennent deviennent de plus en plus puissants et petits, on peut compter sur des individus malintentionnés pour éventuellement les exploiter.»

En définitive, peut-on dire que ce maliciel existe réellement? Pas vraiment. Cependant, il est encore trop tôt pour dire qu’il n’existe pas non plus.

Ce qu’il faut décoder de cette vision, c’est que la théorie est plausible, mais qu’elle ne semble pas s’appliquer aux données.

En définitive, peut-on dire que ce maliciel existe réellement? Pas vraiment. Cependant, il est encore trop tôt pour dire qu’il n’existe pas non plus.

En fait, on peut se douter que le principe nietzschéen voulant que ce qui est logique ne soit pas nécessairement vrai s’applique ici. Néanmoins, cela ouvre définitivement une boîte de Pandore qui soulève bien des questions.

Rappelons qu’il est déjà possible de savoir ce qu’un usager tape seulement en «écoutant» les ondes électromagnétiques qui sont émises par le clavier lorsqu’une touche est appuyée. La suite logique de tout cela se trouve fort probablement dans les trouvailles de Dragos Ruiu.

  • Marc Boivin

    Je n’ai pas lu les données de l’études, mais même si la transmission par ultrason est plausible, la compréhension de ces sons par une autre machine, qui n’est pas infecté, est hautement improbable. À moins que la carte-mère ait un récepteur piézoélectrique je ne vois pas comment la cible ferait pour capter le code machine.

    • Benoît Gagnon

      Effectivement, cet aspect est plutôt nébuleux. Ce que j’en ai compris, c’est que Ruiu a effectué ses tests avec des portables. Il est donc possible de spéculer que le tout passait par le microphone du portable. Enfin, tout ça reste nébuleux.

      • marco

        Plausible avec des portables à mon avis !

        • ogwjm

          Sauf que même équipé d’un microphone, un ordinateur portable n’attendrait pas d’instructions sur celui ci sans être contaminé au préalable. Comme vecteur de communication entre machines déjà contaminées, pourquoi pas, et encore pour tous ceux qui ont déjà fait du traitement du signal, c’est atrocement compliqué (réverbération, bruit de fond, parasites… etc) et très lent. Mais les ondes sonores comme vecteur de propagation, cela semble totalement surréaliste.