Rootkit PCI : un endroit chaud pour s'installer

Pas cryptés du tout, tant que les trusted plateforms ne feront pas partie du paysage informatique mondial... le papier de John Heasmann ne Ngss n'est pas franchement plaisant, dépeignant d'un coté la menace très probable d'une génération de rootkits cachés dans les bios des cartes graphiques, et de l'autre la solution salvatrice d'une plateforme du Trusted Computing Group. Peste d'un coté, grippe aviaire de l'autre, l'homo-informaticus n'a guère de chances d'en réchapper libre.

Mais le risque est techniquement bien réel. Heasmann décrit comment l'espace contenu dans les mémoires flash peut servir d'aire de stockage à un code viral échappant aux assiduités des antivirus classiques, des HIDS standards, bref, de toute programme de surveillance traditionnels. Et ce n'est pas la première fois que ce membre respecté de l'équipe Lietchfield trafique les mémoires non conventionnelles. Il avait déjà, par le passé, exploité la zone ACPI des bios d'ordinateurs de la famille Wintel. Cette fois ci, en se penchant sur les bios des cartes PCI en général et des adaptateurs graphiques en particulier, il parvient à loger un code actif pouvant potentiellement s'attaquer à n'importe quelle plateforme (Mac, PC sous Windows ou Unix...), code pouvant agir à « très bas niveau », directement depuis la racine du bus PCI, à deux pas du processeur, de la mémoire, du DMA...

Doit-on préciser qu'un formatage du disque dur, un reboot de la machine, une reconfiguration totale de l'ordinateur n'y feront rien : le rootkit sera toujours vivant. L'auteur du rapport tente de rassurer ses lecteur en affirmant que de tels tentatives de compromission relève de l'improbable, puisque bon nombre d'utilisateurs négligent encore d'utiliser des antivirus à jour, d'appliquer régulièrement les correctifs conseillés et de protéger leurs accès Wan par l'ajout d'un coupe feu conséquent. Il est ainsi clairement entendu que le virus traditionnel a encore de beaux jours à vivre avant que les « black hats » aient recours à des techniques aussi retorses que celles décrites par Heasmann. C'est ne considérer là que la grande majorité des machines, autrement dit celles qui sont généralement peu susceptibles de contenir des informations à haute valeur ajoutée. Informations qui, quant à elles, seraient hébergées sur des ordinateurs placés sous constante surveillance, choyés, entretenus... autrement dit des machines sur lesquelles, précisément, une exploitation des zones d'adressage bios serait un havre idéal pour des logiciels espions. Les récentes détections de spear phishing et de dépose sélective de spywares à orientation « espionnage industriel » ne font que confirmer cette hypothèse.

Mais pour le commun des mortels,effectivement, les virus-flash ont peu de chance de nous inquiéter. Il y a bien longtemps, oh, si longtemps, l'accès à l'adressage d'une mémoire permanente nécessitait la possession d'une lampe à bronzer et d'un support ZIF. Combien de Basica, combien d'IBMBios, de Basic Applesoft et autres « bas niveaux » se sont vu transportés par des 2732 sur des cartes sans vies attendant une nouvelle âme logicielle... La métempsychose était généralement limitée à 256K (bits). Plus tard, la modification d'un microcode s'effectuait en plaçant un cavalier sur la broche « write enable » de l'eeprom. Plus d'ultraviolet, plus d'extraction de circuit, il était même possible d'y stocker des variables dans une zone RAM attenante : on ne pouvait rêver méthode plus agréable. N'entrait sur la mémoire que le programme souhaité. Vint enfin l'ère du « tout logiciel », ou l'écran-clavier-souris, d'une case à cocher, ont remplacé d'un coup les manipulations matérielles stériles. Nul ne contestera que l'accès « soft » est devenu depuis un confort minimum : plus de cavalier, plus de machine ouverte, voir plus de boot en mode DOS et autres fantaisies. Mais pour ce luxe d'usage, il faut payer un prix : celui du remplacement d'une sécurité matérielle par un cerbère logiciel, celui du TCG, de ses processeurs de sécurité dédié, de ses flicages de licences, des ses très probables incompatibilités et conflits, de ses processus authentifiés par un quarteron d'éditeurs, OEM, fabricants... mais pas franchement par un utilisateur. C'est un peu cher payer pour éviter un rootkit. Surtout si l'on considère le prix d'une série de picots au pas de 2,54 et d'un cavalier en métal doré.

*NdlC Note de la Correctrice : une eprom flash que l'auteur persiste, au fil de son article, à baptiser « rom »... Que celui qui parvient à injecter un code viral sur une rom burinée en dur dans le silicium ou fusillée à coup de fusibles grillés me traite de vieille RAS-CAS. Profitons-en pour rappeler l'extraordinaire travail de la Commission de défense de la langue Française qui avait inventé pour l'occasion l'extraordinaire MEM, pour Mémoire Electrique Morte. Même nos lointains cousins Canadiens, pourtant très à cheval sur la défense du Furetière, n'ont pas osé une telle incongruité. Oh, Rom, unique objet de mon ressentiment !