BIOS est si discrète que l'on a parfois tendance à l'oublier. Pour mémoire BIOS (Basic Input Output System) est le firmware qui est lancé au démarrage de la machine. Depuis l'avènement des mises à jour par flashage, BIOS est devenue une cible pour les attaquants, et un problème pour les professionnels de la sécurité. Nous avions déjà parlé de celui-ci lors de l'article sur les rootkits. Des chercheurs lors de la conférence CanSecWest ont démontré qu'un malware s'attaquant au BIOS peut infecter de nombreux types de carte mère indépendamment du système d'exploitation. Par nature, ces attaques sont très difficiles à détecter.
En Mars, Alfredo Ortega et Anibal Sacco ont démontré qu'une attaque sur un BIOS générique pouvait infecter de nombreux types de BIOS. Je vous rappelle qu'un attaquant qui réussit à compromettre celui-ci a donc le contrôle total du firmware de la machine, le système d'exploitation ne comptant presque plus. On croyait tous, que les différences de type de BIOS présents empêchaient une attaque globale. Que nenni... Les chercheurs ont trouvé un point commun à la plupart des BIOS du marché, une routine de décompression pour que le code lui-même prenne moins de place. Résultat, un malware BIOS quasi universel. Mais à quoi cela peut il servir? L'attaquant peut exécuter son code à chaque redémarrage, même si le disque dur est reformaté !!
La première attaque BIOS d'envergure date déjà de 1999, il s'agissait du virus CIH (aussi appelé Chernobyl) qui simplement effaçait le disque, beaucoup de sociétés s'en souviennent avec un brin de nostalgie (euh, non, plutôt d'amertume). Comme nous l'avons vu, aujourd'hui avec l'apparition du Flash BIOS et des utilitaires de flashage, il est « facile » d'avoir une BIOS toujours à jour, et aussi de se faire attaquer via la technique de « man in the middle », car bien souvent il n'existe pas de vérification ou de signature de la mise à jour. Et lorsqu'elles existent elles peuvent être contournés (Ivan Arce de Core Security) !
Mais alors que faire ? Personnellement, je pense qu'il n'existe qu'une seule méthode fiable pour ne pas avoir d'infection. Empêcher physiquement (ou logiquement par mot de passe) toute modification. D'accord, c'est un peu rude. Et on va m'objecter que si l'on doit modifier les BIOS de tout un parc, bonjour les dégâts... C'est vrai, mais en entreprise pendant la durée de vie d'une machine a-t-on vraiment besoin de mettre à jour le firmware sur tout un parc ? On peut en discuter... Pour les irréductibles de la mise à jour, l'émergence de standard comme TPM (Trusted Platform Module) pourront peut être les aider.
_