Archives par mot-clé : bios

La protection des ordinateurs portables contre les cyberattaques : tout part du BIOS

Le plus souvent lorsqu’on parle de sécurité informatique, on met beaucoup plus l’accent sur les applications et sur les réseaux d’entreprise.

Pourtant, il n’y a pas que l’aspect software qui peut poser problème. Le matériel doit être aussi observé de prêt. Car il peut être aussi vulnérable.  C’est d’ailleurs pour cette raison que la base de votre cybersécurité doit commencer par ça.

Cet article va aussi vous intéresser : Le système de mise à jour détournée par des pirates informatiques

De manière générale la criminalité en ligne explose. Les méthodes utilisées par les pirates informatiques deviennent chaque jour plus sophistiquées qu’avant. Avec la numérisation croissante des services et des relations humaines, nous sommes de plus en plus exposés. Que ce soit nos informations personnelles ou encore notre porte monnaie, il est clair que nous sommes à la merci des pirates informatiques. Et si nous n’arrivons pas à les protéger correctement, les conséquences peuvent être plus que dramatique. Pour les entreprises par exemple, si les clients sont affectés d’une manière ou d’une autre ou si leurs données sont violées, cela peut avoir un impact significatif sur son évolution, voir même conduire irrémédiablement vers sa faillite.

C’est pour cette raison, qu’il est important de s’investir au maximum dans la cybersécurité. Que ce soit pour des particuliers ou pour des entreprises. À ce titre, une approche beaucoup plus concrète doit être faite au niveau du matériel. En particulier du BIOS.

« Vous aurez beau investir dans les systèmes antivirus les plus sophistiqués au monde, cela ne servira à rien si le BIOS de votre ordinateur portable est compromis. Le BIOS (Basic Input/Output System, ou système élémentaire d’entrée/sortie) est le firmware qui se trouve sur une petite puce située sur la carte mère. Il s’agit du conducteur qui actionne les composants, vérifie qu’ils fonctionnent correctement, et donne au système d’exploitation l’ordre de démarrer. Sans BIOS, pas d’ordinateur. », explique Magali Moreau, Directrice Marketing et Communication chez Sharp Business Systems France.

Autrement dit, tout déploiement où tout mesure de sécurité doit commencer par le BIOS. Car si ce dernier n’est pas correctement protégé, l’outil informatique concerné sera vulnérable quoi qu’il arrive. En effet, les pirates informatiques ont la possibilité d’infiltrer directement le firmware de l’ordinateur portable et avoir accès aux données qui y sont enregistrées. Dans ce cas de figure, il est assez difficile de les détecter, car les outils de protection habituels se limitent à une sécurisation superficielle, souvent incapable de pouvoir analyser des activités suspectes sur le BIOS.

« Les ordinateurs portables créés à des fins professionnelles intègrent des outils de sécurité facilitant le travail en situation de mobilité. Par exemple, la plupart des fabricants ont remplacé le BIOS standard par l’interface micrologiciel extensible unifiée (UEFI). Ce dernier est un système d’exploitation qui tourne sur le micrologiciel de l’ordinateur, et lui donne la possibilité de prendre en charge de nouvelles fonctionnalités, comme des disques durs dotés de davantage de mémoire ou des réseaux plus rapides. », indique Magali Moreau.

« Cependant, l’UEFI n’est pas aussi sécurisé que le BIOS, et ce en grande partie parce que de nombreux fabricants d’ordinateurs utilisent le même code. Cette pratique augmente le risque que des pirates introduisent des logiciels malveillants dans le système. En effet, après avoir infiltré une première machine, ils peuvent accéder à d’innombrables appareils rien qu’avec un fragment de code malveillant. », ajoute cette dernière.

Par conséquent il est plus que nécessaire de protéger le BIOS de notre ordinateur portable. Si vous pouvez utiliser des logiciels de sécurité classique, et vous devez les utiliser, il faudra mettre l’accent sur de bonnes pratiques en matière d’hygiène numérique. Par exemple, ne négliger aucune mise à jour de sécurité ou correctifs quelle que soit sa nature. Par ailleurs les utilisateurs doivent être rigoureux quant à leur choix d’ordinateur portable. Ils doivent privilégier les fabricants qui ont une certaine rigueur dans la gestion de leur sécurité du BIOS.

« Cherchez un fournisseur qui programme son propre BIOS, plutôt que de s’appuyer sur du code tiers rendant votre ordinateur vulnérable aux attaques. L’autre avantage réside dans la personnalisation. En effet, le fabricant peut offrir un accès minutieux aux composants, et prendre en charge la création de mots de passe plus longs et sécurisés (jusqu’à 50 caractères) pour une protection maximale. Le code du BIOS doit également être chiffré et sécurisé dans son format brut. De cette façon, aucun tiers ne pourra y accéder, ou le modifier pour en envoyer de fausses versions, et inciter des individus à les utiliser – compromettant ainsi leurs dispositifs. », conseille Magali Moreau.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

TrickBot selon AdvIntel

Récemment dans un rapport publié par la société AdvIntel, il a été observé le mouvement d’un nouveau module TrickBot, appelé par les chercheurs « PermaDll32 ».

Ce nom a attiré l’attention des chercheurs car il paraissait être un dérivé de l’expression « permanent », c’est qu’il a fait penser à un module qui pourrait causer des effets de type persistant.

Cet article va aussi vous intéresser : L’UEFI : cible persistante de TrickBot

Selon l’analyse des chercheurs sécurité informatique, ce module avait la fonctionnalité de lire les informations présentes dans le microprogramme BIOS et aussi dans le programme UEFI, lorsqu’il arrivait infecté de machines. « Ce code de bas niveau est stocké dans la puce de mémoire flash SPI de la carte mère d’un ordinateur et est responsable de l’initialisation du matériel pendant le processus de démarrage et de la transmission du contrôle au système d’exploitation. » explique Lucian Constantin, CSO.

La découverte a été faite par les chercheurs de AdvIntel et de Eclypsium, qui est connu possédée une spécialisation dans la sécurité des firmwares. Les deux sociétés se sont associées pour mieux analyser le récent module de TrickBot et déterminer ce à quoi il pourrait bien servir. Selon cette enquête : « le module PermaDll32 déploie un pilote appelé RwDrv.sys » qui vient de RWEverything, un programme gratuit assez populaire ayant la fonctionnalité de permettre à ses utilisateurs de lire et d’écrire dans les micrologiciels des composants matériels, c’est compris le contrôleur SPI présent pour l’UEFI.

« Le module TrickBot utilise cette capacité pour identifier la plateforme matérielle Intel sous-jacente, vérifier si le registre de contrôle du BIOS est déverrouillé, et si la protection en écriture BIOS / UEFI est activée. Pour que la chaîne de démarrage complète soit sécurisée, le micrologiciel UEFI doit être protégé en écriture, mais les fabricants OEM d’ordinateurs ont souvent laissé cela mal configuré dans les systèmes par le passé. » explique Lucian Constantin. Cette fonctionnalité a permis à des groupes des pirates informatiques spécialisés dans le cyber espionnage de déployer les logiciels malveillants furtifs. « Je pense qu’il y a probablement des millions d’appareils vulnérables à ce problème encore sur le terrain », a expliqué à CSO Jesse Michael, chercheur principal pour Eclypsium. « Je n’ai pas le nombre d’appareils visés, mais c’était une chose très courante avant 2017 et même après 2017, nous voyons encore certains appareils sortant d’usine livrés avec cette vulnérabilité. Les fournisseurs de premier plan font ce qu’ils peuvent pour combler ce trou de sécurité », ajoute-il.

Le problème est bien connu. On rappelle qu’une faille semblable avait été exploité dans le passé. Cela a servi à des cybercriminels à déployer des implants UEFI par les pirates informatiques du groupe APT 28 à travers l’attaque LoJax ou encore avec les pirates informatiques de MossaicRegressor.u plus récemment. Pourtant, il demeure de nombreuses failles de sécurité UEFI et plusieurs erreurs de configuration au niveau des matériels qui sont constamment signaler depuis maintenant des années. Des vulnérabilités qui pourraient être exploitées par TrickBot plus tard.

« Les implications pour la sécurité nationale résultant d’une campagne de malware généralisée capable de brancher des appareils sont énormes », avertissent les chercheurs. « Le module TrickBoot cible tous les systèmes Intel produits au cours des cinq dernières années. D’après l’analyse Eclypsium, la plupart de ces systèmes restent vulnérables à l’une des multitudes de vulnérabilités de micrologiciel actuellement connues, avec une plus petite proportion susceptible d’être sensibles au problème de mauvaise configuration ».

La meilleure manière de se protéger contre les attaques des genres et bien sûr de faire constamment les mises à jour du BIOS / UEFI. Au fur et à mesure les vulnérabilités connues sont en train d’être corrigées. Il est important de faire les mises à jour car ce sont des choses qui sont pour la plupart négligées. Une routine simple mais sans savoir pourquoi est difficilement respecté par les entreprises.

« Souvent, les gens se concentrent sur les mises à jour du système d’exploitation et négligent les mises à jour du micrologiciel », note Jesse Michael. « Vous avez donc peut-être une mise à jour du micrologiciel pour votre système que vous pouvez déployer pour résoudre ce problème, mais comme vous ne l’avez pas, parce que vous n’incluez pas les mises à jour du micrologiciel dans vos opérations informatiques normales, vous mettez plus de temps pour les appliquer. A titre préventif vous devez inclure les mises à jour du micrologiciel dans vos processus normaux ».

Il est possible de résoudre ce problème. Cependant, il faudra résoudre d’abord un autre celui du manque de visibilité des problèmes liés au micrologiciel, lors de l’analyse des vulnérabilités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’UEFI : cible persistante de TrickBot

Récemment les chercheurs en sécurité informatique la société AdvIntel ont fait une étonnante découverte.

Un module TrickBot permettant aux logiciels malveillants de persister et continuer à agir quand bien même que le système ciblé a été reformater ou remplacer. Une fonctionnalité qui ne va pas rendre la tâche facile aux responsables de sécurité de système d’information.

Cet article va aussi vous intéresser : Trickbot : Microsoft et les autorités Américaines contre le réseau de zombie le plus important au monde

De façon technique, on notera que TrickBot, utilise une plate-forme qui a la possibilité d’identifier les modules matériels tournant sur Intel mais de façon sous-jacente. Il permet alors de vérifier le registre de contrôle du BIOS, pour s’assurer qu’il est déverrouillé ou l’absence d’une quelconque protection.

Une évolution assez inquiétante du programme TrickBot, qui donnait déjà du fil à retordre aux professionnels. À titre de rappel, il faut noter que TrickBot est un Botnet c’est-à-dire un réseau d’ordinateurs connectés de façon frauduleuse dans le but de générer de la puissance de calcul, servant généralement aux pirates informatiques de passerelle d’accès aux réseaux des entreprises pour injecter des rançongiciels où d’autres programmes malveillants pour les soumettre à leur contrôle. Grâce aux nouveaux modules identifiés par les chercheurs en sécurité, le Botnet peut dorénavant rechercher la configuration UEFI qui présente des failles de sécurité sur des systèmes qu’ils ont précédemment infectés. Ce qui permet alors au cyber attaquants de pouvoir déployer des portes dérobées, de niveau si bas, qu’il est compliqué au les chercheurs de les supprimer.

À titre de précision signifions que l’UEFI pour « Unified Extensible Firmware Interface » est un outil qui permet de s’assurer que sur un système informatique aucun logiciel malveillant du genre rootkit (utilisé par les pirates informatiques pour modifier les systèmes d’exploitation dans le but de cacher des programmes malveillants, de transférer des données ou des portes dérobée), n’est installé. Rappelons de ce fait que Kaspersky annonçait avoir découvert un rootkit du nom de MoazaicRegressor, qui s’attaque à principalement aux disques UEFI.

« Cela marque une étape importante dans l’évolution de TrickBot », ont précisé les chercheurs des sociétés de sécurité informatique Advanced Intelligence (AdvIntel) et Eclypsium dans leur récent rapport publié aujourd’hui. « Les implants de niveau UEFI sont la forme de bootkits la plus profonde, la plus puissante et la plus furtive. Étant donné que le micrologiciel est stocké sur la carte mère par opposition aux lecteurs système, ces menaces peuvent fournir aux attaquants une persistance continue, même si le disque est remplacé. De même, si le micrologiciel est utilisé pour brique un appareil, les scénarios de récupération sont nettement différents et plus difficiles que la récupération à partir du cryptage traditionnel du système de fichiers qu’une campagne de ransomware comme Ryuk, par exemple ». Notent-elles.

Pour en revenir à TrickBot, c’était à la base un programme en malveillant de type cheval de Troie. Il faisait ses armes généralement dans le domaine de la fraude bancaire en ligne et du vol d’identifiant de connexion tels que des mots de passe et de noms d’utilisateurs.

Aujourd’hui, il se présente comme une vaste plateforme de cybercriminalité qui s’étend à plusieurs fonctionnalités et capacités qui prend en compte les analyses RDP, les accès à distance passant par le VNC plus, les exploits à travers les vulnérabilités SMB.

Plusieurs opérateurs ont été observés derrière l’utilisation de TrickBot. Parmi tant d’autres, il y a le célèbre groupe connu dans le secteur de la cybersécurité du nom d’Overdose ou The Trick. Il utilise le programme malveillant pour accéder aux réseaux d’entreprises, pour ensuite mettre à la disposition d’autres groupes des cybercriminels les accès obtenus, en particulier les opérateurs qui sont derrière le rançongiciel Ryuk. Le groupe Lazarus, connu comme un groupe de pirate informatique travaillant pour le compte de l’État Coréen aurait aussi user de TrickBot dans le but de développer des portes dérobées.

Selon les chercheurs en sécurité informatique, les opérateurs du programme TrickBot offrent le plus souvent leur service au groupe de catégorie APT où aux groupes de pirates informatiques de catégorie supérieure.

En octobre dernier, la société de Redmond Microsoft et plusieurs autres organisations se sont réunies pour porter un coup important sur les Infrastructures de commande et de contrôle du programme malveillant TrickBot. Si l’opération a été un succès, il n’en demeure pas moins que le Botnet vit toujours. En novembre, plusieurs compagnes de cybercriminalité en été initié en se fondant sur ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage