Bien que nous recommandions toujours d’avoir un bon antivirus installé sur votre ordinateur, qui nous protège constamment de toutes sortes de menaces, il existe certains types de logiciels malveillants qui échappent au contrôle de ces programmes de sécurité. Et, comme nous devenons infectés par l’un d’eux, nous pouvons avoir de sérieux problèmes pour notre sécurité. C’est ce qui se passe avec BlackLotus, que l’on peut considérer le premier virus bootkit pour UEFI qui a été détecté sur le réseau.
Lorsque nous parlons de virus ou de logiciels malveillants, nous pensons généralement à de petits programmes malveillants qui s’exécutent sous Windows et cherchent à prendre le contrôle du PC à partir du système Microsoft. Ce malware est facile à détecter, à l’aide d’un antivirus, et relativement facile à supprimer. Cependant, un ordinateur possède d’autres logiciels qui s’exécutent même sous Windows, ce qui donne aux logiciels malveillants un contrôle total sur toutes les fonctions du système et les rend presque impossibles à supprimer. Nous parlons, par exemple, de bootkits et de virus UEFI.
BlackLotus est peut-être le virus le plus dangereux
Ces menaces ont longtemps été un mythe et une cible pour toutes sortes de pirates. Et malheureusement, ils se sont réalisés. La société de sécurité ESET a déjà détecté les premières copies de BlackLotus, un bootkit UEFI capable de se charger en mémoire avant Windows lui-même et, de plus, ignore toutes les mesures de démarrage sécurisé.
Le démarrage sécurisé est une fonctionnalité de sécurité de Windows qui permet au système d’exploitation de surveiller l’intégralité du processus de démarrage pour s’assurer qu’aucun code n’est chargé sans une signature valide. Bien que cette fonction ait été conçue pour eempêcher un bootkit de prendre le contrôle de lui-même et permettre aux pirates de télécharger leur propre code malveillant, plusieurs vulnérabilités dans ce Secure Boot sont signalées depuis longtemps. Et, au final, ils ont réussi à mettre en danger les utilisateurs.
Comme cette société de sécurité a pu le vérifier, BlackLotus est capable d’être entièrement chargé sur un système Windows 10 ou Windows 11 avec Secure Boot activé, brisant complètement la sécurité du système d’exploitation de Microsoft. Votre code pourrait avoir encore plus de privilèges qu’un antivirus ou toute autre fonction, il ne pourrait donc rien faire.
Pour infecter les ordinateurs, le logiciel malveillant se télécharge et s’exécute sous Windows, en utilisant une faille de sécurité connue pour s’installer dans le BIOS. De plus, il est capable de désactiver des mesures de sécurité système supplémentaires telles que BitLocker, Windows Defender et HVCI, laissant Windows presque nu aux pirates. De plus, il installe un pilote dans le noyau, pour se protéger, et un téléchargeur HTTP pour pouvoir télécharger des mises à jour et d’autres modules via des commandes à distance.
Comment l’éviter
Comme nous l’avons vu, il s’agit d’un logiciel malveillant très complexe et difficile à détecter et à atténuer. Les experts en sécurité recommandent que la meilleure façon de s’en protéger est de en veillant à garder notre ordinateur toujours à jour. Et mettez à jour à la fois le système et le BIOS/UEFI par des moyens officiels pour éviter de finir par installer un pilote vulnérable qui met en danger notre sécurité.
Le bon sens est toujours aussi l’un des meilleurs alliés. Et aussi, si nous avons des doutes, il est conseillé d’ouvrir les fichiers et dossiers dans des environnements sécurisés, tels que Windows Sandbox, pour réduire le risque d’infection.
Julien, rédacteur chez Progiciels Mag, se spécialise en cybersécurité et innovations technologiques. Sa passion pour le numérique et son expertise font de lui une source incontournable d’informations avant-gardistes pour les lecteurs. Son travail contribue significativement à maintenir le magazine à la pointe de l’actualité high-tech.