BadBIOS… vraie menace ou opération marketing ?

C’était il y a trois semaines. L'expert en sécurité Dragos Ruiu faisait l’éloge de l’outil Copernicus de vérification de BIOS, y voyant « l’un des plus importants nouveaux outils de sécurité de l’histoire » Et pour cause : il affirme avoir « trouvé un logiciel malveillant persistant », dans un BIOS, « qui survit à son reflashage ». Pire encore, ce logiciel malveillant disposerait d’un hyperviseur et embarquerait une radio à définition logicielle pour… se propager sans fil, mais sans passer pour autant par des interfaces Bluetooth ou Wi-Fi. Non, il utiliserait un signal audio à très haute fréquence. Et le logiciel ne viserait pas uniquement les ordinateurs sous Windows : il affecterait également des systèmes sous BSD, tels que les Mac. Et les machines infectées modifieraient le contrôleur flash de clés USB à leur insertion afin d’assurer la propagation physique du logiciel malveillant. L’extraction de données depuis des PC infectés s’avèrerait particulière difficile. Mais Dragos Ruiu est tout de même parvenu à récupérer et à partager certains fichiers suspects avec la communauté. Et de publier des captures d’écran représentant le spectre du signal à 35 kHz qu’utiliserait le logiciel malveillant, ainsi que de son spectrogramme. Ainsi qu’un échantillon de BIOS présumé contaminé. Mais tout ceci est-il vrai ? Le débat est loin d’être clos.

« Tout ce que décrit Dragos est plausible »

Dans le blog de son entreprise Errata Security, Robert Graham, se penche sur le sujet. Et il commence par un avertissement : « nous ne savons pas si tout cela est réel. Prudence, donc. Toutefois, il souligne que détourner un BIOS n’a rien d’impossible. Et que le code malveillant n’a pas forcément à s’y trouver : il peut être stocké dans le microcode d’un périphérique interne, et pourquoi pas même dans le code du microcontrôleur du processeur, « le composant le plus insidieux étant l’agent système, qui peut être alimenté alors même que l’ordinateur est éteint ». Et pour cause : c’est lui qui contrôle l’alimentation électrique. En touchant ainsi au coeur du matériel, « l’infection peut devenir permanente […] Cela fait penser à de la science-fiction, mais ça n’en est vraiment pas ». Et de relever des prototypes de tels logiciels malveillants qui existent depuis plus de 5 ans.

Pour lui, l’infection par signal audio n’est pas non plus irréaliste. Il souligne que les modems analogiques ne communiquaient pas suivant des principes différents et que les ordinateurs modernes sont considérablement plus puissants et mieux équipés. Quant à l’infection via les clés USB, là encore, Robert Graham renvoie aux microcontrôleurs - « il y en a peu et il existe un très bon site qui les documente tous » - soulignant au passage que « le logiciel dans Windows/Linux/Mac qui parle aux périphériques USB n'est pas sûr par nature », partant du principe que « tous les appareils USB sont amicaux et non hostiles ».
Au final, pour lui, « tout ce que décrit Dragos est plausible ».

Des doutes

Philip R. Jaenke, autre expert, estime également « possible » qu’un tel logiciel malveillant existe. Mais pour lui, il ne touche pas au BIOS, « il y a trop, beaucoup trop, de points de détection évidents » et la contagion entre PC et Mac d’âges différents « ne serait pas possible ». Mais la prudence est encore de mise chez Sophos. Paul Ducklin estime ainsi qu’il n’est pas possible, pour l’heure, de formuler d’affirmation quant à ce badBIOS. Et de ne pas exclure « un canular élaboré, conçu comme un exercice de publicité et une expérimentation d’ingénierie sociale combinés qui s’achèvera lors de PacSec », une conférence dédiée à la sécurité informatique qui se tiendra du 13 au 14 novembre à Tokyo - et qui est organisée par Dragos Ruiu.
Sur Twitter, les réactions oscillent entre inquiétude et incrédulité. Réponse dans quelques jours.