L’entreprise de cybersécurité Eclypsium a découvert une faille nommée BootHole dans un système de démarrage utilisé avec quasiment toutes les versions de Linux. Cela permet à un virus de contourner le démarrage sécurisé et de prendre le contrôle de la machine. Elle peut également affecter les ordinateurs équipés de Windows.
au sommaire
Une nouvelle faille découverte par des chercheurs de l'entreprise de cybersécurité Eclypsium risque d'apporter le grand retour des bootkits. Cette menace baptisée BootHole permet à un virus de s'installer au cœur d'un ordinateur et de se charger avant même le démarrage du système d'exploitation. Appelé bootkit, le malware obtient ainsi un accès total à la machine, et il est beaucoup plus difficile à détecter qu'un virus ordinaire. La faille se situe dans le bootloader (ou « chargeur d’amorçage ») GRUB2 qui accompagne quasiment toutes les versions de LinuxLinux. Toutefois, les ordinateurs qui fonctionnent sous Windows sont également visés.
À la mise sous tension de l'ordinateur, le micrologiciel de la carte mère, appelé UEFI sur la majorité des appareils récents, charge le bootloader, qui à son tour lance le démarrage du système d'exploitation. L'UEFI intègre un outil de démarrage sécurisé, appelé Secure Boot, qui vérifie l'intégrité du code du bootloader afin de s'assurer qu'il s'agit bien d'une version certifiée, sans danger pour l'ordinateur. La majorité des systèmes s'appuient sur une base de données de certificatscertificats signés par MicrosoftMicrosoft.
La faille est accessible via un fichier de configuration non vérifié
Le bootloader GRUB2 charge ses paramètres depuis un fichier séparé - grub.cfg - qui n'est pas vérifié. Il est donc possible d'y insérer un code spécifique qui exploite la faille découverte dans le programme. Même avec une mise à jour de GRUB2, toutes les versions précédentes contenant la faille restent signées, et donc acceptées par les systèmes. Il suffit donc de remplacer le bootloader par une version contenant la faille. Cette nouvelle menace affecte aussi les ordinateurs équipés de Windows même s'ils n'utilisent pas GRUB2. Il suffit d'installer GRUB2 au démarrage à l'insu de l'utilisateur, et il sera validé par l'UEFI Secure Boot.
Dans ce cas, ne suffirait-il pas que Microsoft mette simplement à jour la liste des versions autorisées ? Hélas non, car pour éviter les problèmes de droit d'auteur en modifiant GRUB2, beaucoup d'éditeurs de systèmes d'exploitation ajoutent leur propre couche logicielle qui est chargée avant. C'est cette couche qui est authentifiée par un certificat Microsoft, et qui à son tour vérifie l'intégrité de GRUB2. Il faut donc que chaque éditeur mette à jour son code.
Une faille qui n’est accessible que sur une machine déjà compromise
La bonne nouvelle est que cette faille ne rend pas la machine vulnérable à une attaque directe depuis InternetInternet. Accéder au bootloader nécessite un accès administrateur sur la machine. Il faut donc que l'ordinateur soit déjà infecté par un autre malware qui sera chargé d'installer GRUB2 ou simplement d'éditer son fichier de configuration.
La résolutionrésolution complète risque toutefois d'être très longue, car elle nécessite l'intervention de différents acteurs. Une nouvelle version de GRUB2 devra être publiée et installée, ainsi que les couches logicielslogiciels ajoutées par les vendeurs des systèmes. Tous ces éléments devront ensuite être signés avec un certificat Microsoft. Les systèmes d'exploitation devront être mis à jour, ainsi que les micrologiciels des cartes mèrescartes mères affectées. De plus, les mises à jour du bootloader et surtout de l'UEFI ne sont pas sans risque, car une seule erreur risque d'empêcher le démarrage de l'ordinateur. En attendant, il est encore plus crucial que jamais de s'assurer de disposer d'un logiciel antivirusantivirus à jour.
Ce qu’il faut
retenir
- La faille BootHole permet à un virus de s’installer au démarrage de l’ordinateur.
- La faille se situe dans un programme qui accompagne Linux et se nomme GRUB2.
- La résolution nécessitera la mise à jour de GRUB2, des certificats, des systèmes d’exploitation et des cartes mères.