BlogBang

Le virus était dans le Bios et regardait l’informaticien

Par Korben | Nb visites : 477

virus Le virus était dans le Bios et regardait linformaticien

Le plus souvent, lorsque l’un de vos amis se chope un virus mortel sur son ordi, plutôt que de partir en croisade contre l’affreux crobe (comme j’adore le faire), vous lui lachez un simple « Reformate ton PC« …

Et effectivement, le fait de formater, c’est à dire d’effacer complètement le disque élimine tous les virus… Jusqu’à hier où des chercheurs en sécurité ont développé un malware qui infecte le BIOS… et qui par conséquent reste après un reformatage. Même si vous jetez votre disque dur et que vous le remplacez par un neuf, le malware sera toujours là… Je vous avoue quand même que je pensais que ça existait depuis longtemps ce genre de bêbêtes mais apparement non…

cansecwest20001 Le virus était dans le Bios et regardait linformaticien

La bestiole est donc réellement multiplateforme (Windows, Linux, BSD…Etc) et même les machines virtuelles VMware ne s’en sont pas remises… Ensuite, on peut imaginer tous les délires possibles sachant que pour le moment, c’est un proof of concept mais qu’à l’avenir, les bios se réinfecteront peut être eux-même à l’infini, à chaque reboot. Les éditeurs d’Antivirus et les fabriquants de carte mère ont intérêt à bosser main dans la main pour le coup…

[source et photo]

Publicité

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



43 commentaires

  1. Durden Reply to this comment


    Rhoooo, c’est vicieux ça!!

    Posté le 24 mars 2009 à 15:34:45

  2. GiZeus Reply to this comment


    Et zut alors! Moi qui pensais être à l’abri avec Nux. Mais bon encore un argment pour m$ et dire que personne n’est à l’abri et donc qu’eux non plus…

    Posté le 24 mars 2009 à 15:40:57

  3. Benzo Reply to this comment


    Ca existe quand même depuis très longtemps, mon premier Pentium a d’ailleurs rendu l’âme sur une attaque de ce genre là…
    A l’époque (je ne sais pas sur les PC d’aujourd’hui), on pouvait remplacer le BIOS car il était contenu dans un composant amovible.

    Posté le 24 mars 2009 à 15:41:40

  4. fr3d0 Reply to this comment


    Il me semble qu’un pote m’avait dit qu’il avait déjà codé un RAT direct dans le bios (c’était en 2005-2006) après je sais pas si c’est vrai mais bon moi j’y croyais =D
    En tout cas j’en ai déjà entendu parlé pleins de fois :D et j’veux pas dire de conneries mais j’crois que j’ai déjà entendu parlé d’antivirus qui scan le bios !

    Je sais beaucoup de j’ai entendu :D

    Posté le 24 mars 2009 à 15:46:17

  5. Hubert Reply to this comment


    Moi aussi, qui avait un peu étudié les virus, il était déjà évoqué la notion d’infection du BIOS. Ce dernier, cité par Korben, semble particulièrement tenace.
    Le jeu du chat et de la souris va continuer encore bien longtemps…

    Posté le 24 mars 2009 à 15:49:37

  6. fr3d0 Reply to this comment


    @Hubert:
    Surtout que la sa va être puissance 10 000 déjà que les utilisateurs normaux ont du mal avec les antivirus normaux allez parlé à mamie du bios…. :/ Pour quand les virus dans les chipsets graphiques ou encore dans la ram xD

    Posté le 24 mars 2009 à 16:02:27

  7. numaQ Reply to this comment


    Génial, on va pouvoir devenir hyper spécialisés: chirurgien en informatique (fini le vieil informaticien fourre tout de l’ancien temps). Blouse blanche, assistante sexy, matériel de science fiction et une mallette pleine de BIOS propres pour faire la transplantation à capot ouvert…

    Posté le 24 mars 2009 à 16:11:46

  8. kabal127 Reply to this comment


    Y a pire y a le virus de la grippe ça attaque directement l’entité externe qui presse le bouton ON/OFF !! Avec ce virus c’est avant même le démarrage du PC que l’attaque a lieu et quelque soit l’OS ou la plateforme !!

    Mais que vont faire les fabricants d’antivirus ???

    :-D

    Posté le 24 mars 2009 à 16:13:59

  9. metakid Reply to this comment


    On peut toujours flasher le bios ?

    Posté le 24 mars 2009 à 16:15:24

  10. raven Reply to this comment


    Comment ! Ca n’existait pas déjà (et non pas ENCORE) …
    Il me semblais qu’il y eu un « bios virus detection » passable à « enable » dans le bios justement?
    [Chez moi pas de pc de moins de 10 ans d'age]

    Posté le 24 mars 2009 à 16:16:46

  11. zito Reply to this comment


    [mode fanboy - totale mauvaise foi]
    Hihihi pas de Bios dans nos Macs…
    [/mode]

    Bon à quand un malware dans l’EFI ?

    Posté le 24 mars 2009 à 16:18:51

  12. Axis Reply to this comment


    Et en flashant le bios ?

    Je n’ai rien vu dans le doc à ce sujet, mais bon j’ai lu en diagonale…

    edit : grillaid

    Posté le 24 mars 2009 à 16:22:33

  13. raven Reply to this comment


    OOOOOOOOOOUUUUUUUUUUUUUUUUUIIIIIIIIIIIIIII … Flashons !!!!!!

    Posté le 24 mars 2009 à 16:28:44

  14. kane Reply to this comment


    Raison de plus d’adopter les cartes avec un bios libre

    Posté le 24 mars 2009 à 16:42:53

  15. rodhia Reply to this comment


    Et si on sort la pile de sauvegarde?

    Posté le 24 mars 2009 à 17:10:04

  16. JUSTIN Reply to this comment


    oui! moi mon chip (plcc32) je l’enlève puis passer au programmateur elnec je l’éfface et reprogramme bon à condition qu’il ne circule pas dans les entrailles de la carte mère on n ‘est sûr de rien attendons!

    Posté le 24 mars 2009 à 17:10:25

  17. mak Reply to this comment


    ça peut attquer un mac aussi ?

    Posté le 24 mars 2009 à 17:12:07

  18. zito Reply to this comment


    @mak
    non il n’y a pas de Bios dans les Macs, il y a Open-Firmware dans les Macs PPC et EFI dans les Macs Intel…

    http://fr.wikipedia.org/wiki/Extensible_Firmware_Interface
    http://fr.wikipedia.org/wiki/Open_Firmware

    Posté le 24 mars 2009 à 17:18:08

  19. Mickael Stavaux Reply to this comment


    La solution est a mon avis:
    - Soit on remplace les actuels bios en vrais rom, c’est a dire impossible de changé les valeurs, mais bof bof
    - Soit avec le bios + une rom, et la alors vu qu’il ne pourra pas touché a la rom , dé que le bios est attaqué et bien d’un simple bouton interne on réinitialise la bios via la rom. Vite fait bien fait.

    En tout cas je pensai également que ça existait déjà

    Posté le 24 mars 2009 à 17:18:46

  20. §3 Reply to this comment


    Il serait intéressant de préciser que BIOS signifie Basic Input Ouput System.

    Posté le 24 mars 2009 à 17:31:14

  21. Yohann Reply to this comment


    Encore une bonne raison d’acheter un Mac ;)

    Posté le 24 mars 2009 à 17:44:04

  22. david vortex Reply to this comment


    Bonjour.

    Je me souviens que le « risque » potentiel existait déjà en 90.
    Pour preuve, sur Compaq , il fait modifier la position d’un switch sur la Carte mère pour avoir le droit de « reflasher » le bios, (pour une mise a jour par exemple).

    La protection par autorisation physique de l’epoque me semble fiable a ce jour encore ….non?
    Et je rejoins Raven sur le point du « BIOS ENABLE / DISABLE Virus Detection ».

    A+

    David.

    Posté le 24 mars 2009 à 18:03:23

  23. Roger Reply to this comment


    Il me semble que le Bios Virus Detection (en tout cas chez moi) ne fait que surveiller la mbr et prévenir en cas de modification (j’ai eu une erreur par exemple en restaurant windows via les master cds).

    Posté le 24 mars 2009 à 18:17:46

  24. Jah Reply to this comment


    Ce genre de virus existe depuis la nuit des temps informatiques, c’est même un des plus vieux type de virus, on l’avais oublié c’est tout.
    Il suffit dans son bios de ne pas le mettre writable, et c’est tout.
    Ben alors Korben, tu nous aurais pas fait une ptite bouse là ? :-)

    Posté le 24 mars 2009 à 18:48:29

  25. Bluespear Reply to this comment


    Il me semble que la majorité des bios permettent de bloquer « physiquement » l’écriture via un jumper/cavalier sur la carte mère. Evidemment sur les laptops c’est pas vraiment le cas et cas et vu les privilèges toujours plus élevés requis par certains composants pour avoir un haut niveau de perf par défaut le bios autorise l’écriture…

    Par contre il me semble à moi aussi que ca existe depuis un moment les virus de bios.

    Posté le 24 mars 2009 à 19:21:58

  26. teatr26 Reply to this comment


    the best à l’epoque
    http://fr.wikipedia.org/wiki/Tchernobyl_(virus)

    Posté le 24 mars 2009 à 20:23:12

  27. Alexandre Perraud Reply to this comment


    Si ca peut permettre de désactiver des futurs robots humanoïdes potentiellement dangereux soi-disant immunisés contre les virus, pourquoi pas? Une infection au niveau du bios le tuerait.

    Oui je m’emporte. ^^ »

    Posté le 24 mars 2009 à 20:58:48

  28. babelkot Reply to this comment


    Effectivement c’est pas neuf…j’en ai eu un dans le bios de mon 486 DX2

    Posté le 24 mars 2009 à 21:02:53

  29. Brakbabord Reply to this comment


    Oui, la menace fait peur mais il me semble en avoir entendu parler depuis longtemps. Il semble que ce soit un pétard mouillé cependant.

    Quand je vois la difficulté que j’ai pour mettre à jour un bios avec l’utilitaire officiel d’Asus, je me demande bien comment un malware « généraliste » pourrait le faire de manière invisible :D

    Posté le 24 mars 2009 à 21:30:29

  30. Taz Reply to this comment


    hmm sa m’étone que sa exister pas deja :/
    Allez un pti remake de chernobyl :D

    Posté le 24 mars 2009 à 21:41:54

  31. tsukasagenesis Reply to this comment


    Bof, de toute façon tout est réversible !

    Depuis 2000 environs, tout les pc sont équipés d’une directive écrit dans le ROM (mémoire non changeable) pour vérifier si il n’y a pas de CD constructeur dans le lecteur de CD (existe aussi en disquette) ! Comme sa en cas de hack du BIOS, suffit de le réécrire à partir du CD, et tout cela avant même le lancement du BIOS.

    J’avais fait sa pour un ami qui c’est fait justement avoir par bios :)

    Posté le 24 mars 2009 à 21:48:30

  32. Amazir Reply to this comment


    Je confirme pour Tchernobyl (W95/CIH), cette saloperie m’avait niqué une carte mère (Bios HS)en 1998, c’était une bombe logique programmée pour se déclencher un certain jour d’avril 1998 si mes souvenirs sont bons.

    Posté le 24 mars 2009 à 21:53:06

  33. guilde Reply to this comment


    D’accord avec les posts précédents ce genre de virus ça c’est déjà vu avant -> cf virus Tchernobyl (~1998-2002)
    Il semblerait que ce soit une variante dans le même style, merci quand même Korben pour l’info.
    Concernant la conf si t’as le nom de la conf ça serait intéressant d’en parler.
    J’en profite au passage pour faire de la pub pour un excellent documentaire sur la culture underground des hackers (qu’ils soient black, white, green, red, yellow ou grey hat) diffusé lors du dernier Defcon : H4ck3rs Are People Too

    http://www.hackersarepeopletoo.com/main.html

    Ashley Schwartau la réalisatrice est super sympa, je sais qu’au début de la sortie du DVD elle prenait le temps de débattre et répondre avec les acheteurs du DVD qui lui posaient des questions, pour savoir comment ils avaient perçu le documentaire…maintenant que le doc a reçu un prix en décembre c’est peut être plus la même.
    En tout cas je vous le conseille.

    Posté le 24 mars 2009 à 22:57:22

  34. guilde Reply to this comment


    Je trouve que les critiques concernant la news sont pas très constructives, car la news de Korben est intéressante car avec l’évolution du hardware c’est marrant de voir qu’au final on retrouve des problèmes d’y a dix ans tel le virus Tchernobyl. A la différence que là ça serait une sorte de variante.
    Faut espérer que ce sera pas utilisé pour hadopi, vu qu’ils veulent utiliser des logiciels espions.

    http://fr.wikipedia.org/wiki/Microcode

    http://fr.wikipedia.org/wiki/Micrologiciel

    Posté le 24 mars 2009 à 23:25:26

  35. guilde Reply to this comment


    Ce truc ça fait aussi un peu penser à la fameuse Blue Pill de Joanna Rutkowska en 2006.

    Posté le 24 mars 2009 à 23:42:18

  36. Jah Reply to this comment


    [quote]d’accord avec toi mais dans ce cas là qu’est ce qu’il a de nouveau cet exploit ? Tu peux m’expliquer pourquoi Zdnet en cause et pourquoi ces mecs présentent ça a la derniere conf de hackers dont je sais plus le nom ?[/quote]
    Disons que vu l’augmentation de la capacité des bios, on peut même coller un Linux dedans, voir Asus express gate, on peut maintenant y coller des virus plus élaboré, vicieux, etc, voir faire tourner le PC sous GNU/LINUX au lieu de windows.
    Tu voix d’içi la tète de la victime windosienne.
    « putain, il roxxe mon PC today, vl’a la bète de course »
    Et son pote qui répond
    « et patate, tu t’es fait vérolé par Opensuse »

    Trêve d’ânerie, encore heureux que c’est facilement contournable, mais bon si quelqu’un sait faire un virus qui remplacerait IE par un autre fureteur, je suis preneur, là on éradiquerai vraiment une plaie de la planète.

    Posté le 25 mars 2009 à 00:16:16

  37. Ezyan Reply to this comment


    J’ai bien l’impression que les gens parlent sans connaitre ici :x
    On peut me citer un virus qui à réellement fonctionné dans le BIOS ?
    Non parce que programmer un virus pour le bios et dans l’environnement d’un OS ça n’a juste rien à voir …
    Sinon je pense que ce virus ne fonctionne que sur leur BIOS ( il n’est pas universelle )

    Posté le 25 mars 2009 à 00:35:36

  38. aciDben Reply to this comment


    A l’époque (ya loooongtemps) il y avais Genvirus qui permetais de pondre du code ASM sur mesure avec de simples options a choisir, et l’option BIOS resident y étais.
    C’étais d’ailleurs parfait avec l’option kill MBR….

    Mais je psne que la subtilité de nos jours c’est peut etre justement de bypasser les protections mise pour contrrer tout ca dans le BIOS

    Posté le 25 mars 2009 à 10:14:55

  39. kruggs Reply to this comment


    A oui sa existe depuis longtemps, il existe pas mal de rootkit même direct dans le bios, et même de belle backdoor :)
    Par contre sa fait aussi lgt que cela sert a rien…les carte mere de nos jours sont bloquer pour la mise à jour (par defaut) sauf peu etre certaine ou via le soft particulier de la marque.

    Je me demande moi aussi ce qui a de nouveau la dedans
    Au passage, les bios yen na aussi dans d’autre matériels :) genre CG, et même carte réseau du moins des petites mémoires, donc aussi injectable me semble t-il

    Posté le 25 mars 2009 à 14:54:43

  40. Des Biosman contre les BiosVirus ? - Jokester Reply to this comment


    [...] Jokester on mar.25, 2009, under Sécurité Le blog de Korben publiait hier la nouvelle : Des chercheurs ont mis au point un virus qui se loge dans le bios de votre ordinateur! [...]

    Posté le 25 mars 2009 à 15:10:18

  41. aciDben Reply to this comment


    Oui ou un Clear CMOS.

    Sinon après réflexion le principe doit etre simple :
    analyse du type bios (AWARD, AMI, Phoenix) et de la méthode appropriée, copie de l’ancien bios, injection du code malicieux, flashage avec le nouveau bios infecté… Deus ex Machina

    Posté le 25 mars 2009 à 20:17:55

  42. Revue de Web du mercredi 25 mars 2009 [62] | Captain Web Reply to this comment


    [...] n’arrête pas le progrès : des chercheurs viennent de trouver un virus qui s’incrusterait directement dans le bios des machin…. Le petit malin qui a inventé ce truc ne devrait pas tarder à se faire briser les tibias par [...]

    Posté le 26 mars 2009 à 03:28:56

  43. Guillaume De Thomas Reply to this comment


    Si je comprends bien les Mac users sont donc moins à l’abri que ce qu’ils pensaient ?

    Posté le 30 mars 2009 à 11:00:19