Parmi les infections informatiques les plus redoutables figurent sans nul doute celles qui visent le logiciel qui permet de démarrer le système d’exploitation. Le pirate qui arrive à se loger dans cette partie de l’ordinateur est particulièrement bien à l’abri, car les antivirus sont incapables de le détecter. Autre avantage : le code malveillant reste sur l’ordinateur même si le système est totalement réinstallé. Ce type de malware est donc idéal pour l’espionnage et très vogue chez les agences de renseignement et autres officines privées.
Pour lutter contre ce fléau, le site de détection de malware VirusTotal propose désormais un service d’analyse des BIOS. Celui-ci va, par exemple, comparer le code exécutable du firmware aux codes diffusés par les fournisseurs, ce qui permet de détecter son origine. S’il n’y a aucune différence entre les deux codes, c’est évidemment un bon signe.
Le service d’analyse va également décortiquer le logiciel en ses différents constituants applicatifs pour détecter, le cas échéant, une anomalie. Une rubrique particulièrement intéressante est celle des « exécutables Windows ». En théorie, un BIOS ne devrait pas en avoir. S’il y en a, deux solutions : soit le fournisseur s’appuie sur le BIOS pour injecter des applications faites maison dans Windows, soit c’est un malware.
Dans certains cas rares, l’application faite maison est en même temps un malware. VirusTotal référence, à titre d’exemple, le cas de Lenovo et de son injecteur de pourriciels, désigné ici par « NovoSecEngine2 ».
Dans une note de blog, VirusTotal fournit une liste d’outils permettant de réaliser une copie de son propre BIOS. Il suffit ensuite de le téléverser auprès de la société pour qu’elle puisse en faire l’analyse. Il y a néanmoins un bémol : certains malwares de BIOS sont tellement sophistiqués qu’ils reconnaissent la présence d’un tel outil et arrivent à gommer les anomalies au moment de la copie. Selon VirusTotal, le moyen le plus sûr est encore « de se connecter physiquement à la puce du BIOS et de faire un dump de façon électronique ». Ce qui n’est pas forcément à la portée de tout le monde.
Source :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.