RootKit, quand la réalité dépasse très largement la fiction
Les révélations faites autour de Prism et des écoutes de la NSA nous ont obligés ces derniers temps à revoir très largement ce qui relève de la fiction et ce qui existe réellement. Pourtant, ce que rapporte l'expert en sécurité Dragos Ruiu va tellement plus loin que l'on aurait pu croire à un poisson d'avril ou à l'introduction d'un techno-thriller.
Tout a commencé il y a 3 ans dans son laboratoire, quand il a installé une nouvelle copie de Mac OS X. Il s'est aperçu que sa machine installait en silence une mise à jour de son EFI. Ensuite, d'autres phénomènes sont apparus, impossiblité de démarrer sur un CD système mais surtout modification et effacement de fichiers de manière totalement autonome.
Les choses sont devenues encore plus étranges quand un autre ordinateur sous BSD a commencé aussi à avoir des comportements étranges, modifications des paramètres, effacement de fichiers mais aussi échanges de trames IPv6 avec d'autres ordinateurs, y compris certains sur lesquels ce protocole n'était absolument pas activé.
En continuant dans l'étrange, les machines infectées arrivaient à envoyer et recevoir de petites quantités de données même une fois les câbles réseau débranchés et les cartes Wi-Fi et Bluetooth retirées des machines. A ce niveau sachez que tous les systèmes d'exploitation sont concernés, Linux, OS X et Windows.
Le chercheur a donc essayé de se débarrasser de ce surprenant rootkit en appliquant toutes les recettes en sa possession, bios reflashé, disque dur neuf avec mise à 0 des données et système d'exploitation propre. Contre toute attente, ce qu'il a baptisé du nom de badBIOS a réussi à se régénérer. Arrivé là, si nombre d'experts en sécurité réputés ne s'intéressaient pas à l'affaire on aurait pu croire à une fantaisie.
Mais non, ce truc semble réellement exister et serait capable de se transmettre, de se régénérer et d'infecter des machines sans que l'on puisse faire autre chose que des conjectures.
Il y a plusieurs pistes, les premières classiques, infection à partir de supports USB contaminés à un niveau très bas, à d'autres plus extravagantes (mais arrivé à ce point on peut tout supposer), comme une transmission haute fréquence via les haut parleurs et micros des machines.
Le système semble en revanche compris dans ses grandes lignes. Le Rootkit serait capable d'utiliser des failles du bios des machines pour en prendre le contrôle et le modifier.
Arrivé là, une grande question se pose. Qui en est l'instigateur? Il n'y a pas foule de réponses. Pour arriver à un tel niveau d'expertise dans le développement d'un Rootkit et dans la traque de failles de très bas niveau capables de l'installer de manière aussi silencieuse, il faut de colossales ressources en R&D et surtout avoir accès à des données très précises sur le fonctionnement le plus intime de chaque composant d'un ordinateur, chose que l'on ne peut trouver qu'à la source ou avec des armées d'ingénieurs spécialisés.
Pour le moment, cette histoire dont il manque encore la fin et quelques épilogues ne fera qu'une chose, faire un peu plus perdre confiance dans la technologie de plus en plus omniprésente au quotidien et dont le seul but semble de nous rendre de plus en plus dépendants, tout en faisant de plus en plus reculer toute notion de confidentialité et de vie privée.