À la fin des années 1990, un virus informatique appelé CIH a commencé à infecter certains ordinateurs. Sa charge utile, une fois déclenchée, a écrasé les informations du système et a détruit le BIOS de l'ordinateur, ce qui a essentiellement détruit l'ordinateur infecté. Un virus qui affecte les systèmes d'exploitation modernes (comme Windows 10) pourrait-il détruire le BIOS d'un ordinateur moderne et le brique essentiellement de la même manière, ou est-il désormais impossible pour un virus d'accéder au BIOS d'un ordinateur moderne?
Les ordinateurs modernes n'ont pas de BIOS, ils ont un UEFI . La mise à jour du micrologiciel UEFI à partir du système d'exploitation en cours d'exécution est une procédure standard, de sorte que tout logiciel malveillant qui parvient à s'exécuter sur le système d'exploitation avec des privilèges suffisants pourrait tenter de faire de même. Cependant, la plupart des UEFI n'accepteront pas une mise à jour qui n'est pas signée numériquement par le fabricant. Cela signifie qu'il ne devrait pas être possible de l'écraser avec du code arbitraire.
Cela suppose toutefois que:
Et ces deux hypothèses ne tiennent pas nécessairement.
En ce qui concerne les clés ayant fait l'objet d'une fuite: si une clé de signature UEFI devait être connue du grand public, vous pouvez alors supposer qu'il y aurait beaucoup de reportages dans les médias et de correctifs hystériques. Si vous suivez des nouvelles informatiques, vous verrez probablement beaucoup d'alarmiste "Si vous avez une carte mère [de marque] METTEZ À JOUR VOTRE UEFI !!! 1111oneone" titres. Mais une autre possibilité est de signer des clés secrètement divulguées à des acteurs étatiques. Donc, si votre travail peut être intéressant pour l'espionnage industriel, cela peut également être une menace crédible pour vous.
Concernant les bugs: les UEFIs gagnent de plus en plus de fonctionnalités qui ont de plus en plus de possibilités pour les bugs cachés. Ils manquent également de la plupart des fonctionnalités de sécurité interne dont vous disposez après avoir démarré un "vrai" système d'exploitation.
Oui, c'est définitivement possible.
De nos jours, avec UEFI se généralisant, c'est encore plus une préoccupation: UEFI a une surface d'attaque beaucoup plus grande que le BIOS traditionnel et une faille (potentielle) dans UEFI pourrait être un levier pour accéder à la machine sans avoir aucun accès physique (- comme l'ont démontré les habitants d'Eclypsium au chapeau noir l'année dernière ).
En pratique, un virus est un logiciel, il peut donc faire tout ce que tout autre logiciel peut faire.
Donc, la réponse simple à cette question, et à toutes les autres de la classe "Les virus peuvent-ils faire X?" est de demander "Est-ce que le logiciel fait actuellement X?"
Ces questions pourraient inclure "un virus peut-il promener mon chien?" (pas sans robot promeneur de chien); "Un virus peut-il me procurer une pizza?" (oui: ce n'est malheureusement pas l'objectif principal de la plupart des auteurs de virus, cependant).
Les BIOS (UEFI) sont-ils actuellement mis à jour à l'aide d'un logiciel? La réponse est oui. Le mien a été mis à jour hier soir, lorsque j'ai redémarré.
Et donc la réponse est oui.
Selon la même logique, les virus peuvent également causer (et ont toujours causé) des dommages physiques à votre processeur, vos disques durs et vos imprimantes.
Les systèmes domotiques et les véhicules sans conducteur sont également des cibles possibles de dommages physiques, mais je ne connais aucun virus qui l'ait fait.
Oui, c'est définitivement possible.
Voici un exemple de mise à jour d'un système d'exploitation malveillant signée frauduleusement avec la clé privée du fabricant: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/
Selon Kaspersky Labs, environ un million d'ordinateurs portables Asus ont été infectés par Shadowhammer
, avec une mise à jour qui semblait être correctement signée. On ne sait pas si cela a modifié le firmware, mais cela aurait certainement pu le faire.
Votre question fait allusion à un sujet plus profond qui est les anneaux et les autorisations de code sur un système d'exploitation. Sous MS DOS, le code peut faire ce qu'il veut. Si le code voulait écrire tous les 0x00 sur un disque dur, il le pourrait s'il voulait envoyer une sortie étrange à un morceau de matériel, cela pourrait également ne rien arrêter le code de l'utilisateur. Sur un système d'exploitation moderne, il existe un concept d'anneaux (cela est appliqué par le CPU). Le noyau fonctionne sur ring zéro et il pourrait faire ce qu'il veut. Le code de l'utilisateur en revanche ne peut pas. Il fonctionne sur quelque chose appelé anneau 3 et on lui donne son propre petit morceau de mémoire et à l'intérieur de cette mémoire, il peut faire ce qu'il veut mais il ne peut pas parler directement au matériel. Si le code de l'utilisateur essaie de communiquer avec le matériel, le noyau tue immédiatement le programme. Cela signifie qu'il est très peu probable qu'un virus ordinaire puisse tuer du matériel car il ne peut pas lui parler directement.
Si le noyau est piraté, le jeu est essentiellement terminé. Le noyau peut faire ce qu'il veut et toute une série de mauvaises choses peuvent arriver, comme l'overclocking du processeur à un point où le matériel est instable, essuyer les disques durs (remplir les zéros par exemple), ou à peu près toute autre attaque plausible .
Potentiellement. Ce serait difficile à faire cependant, car il devrait plus que probablement se faire passer pour une mise à jour légitime du BIOS quelque part sur la ligne. La méthode pour le faire changera en fonction de votre mobo mais il y a de fortes chances que cela implique la fuite de clés privées ou matérielles ou d'autres secrets.
Oui. C'est spécifique au matériel, mais voici un cas où un utilisateur a accidentellement cassé le micrologiciel de sa carte mère du niveau du système d'exploitation https://github.com/systemd/systemd/issues/2402
Un bogue dans le firmware d'un ordinateur portable MSI signifiait que la suppression des variables efi rendait l'ordinateur portable inutilisable. Étant donné que ces variables ont été exposées au système d'exploitation et montées en tant que fichier, la suppression de chaque fichier du niveau du système d'exploitation a provoqué le problème qui pourrait être exploité par un virus pour cibler spécifiquement ces variables.
Il y a plusieurs façons, et certaines d'entre elles sont troublantes. Par exemple, Computrace semble être une porte dérobée permanente qui peut contourner non seulement le système d'exploitation mais même le BIOS. Et plus généralement, le Intel Management Engine a un contrôle total sur votre ordinateur et peut vraisemblablement être exploité. Ceux-ci peuvent modifier votre BIOS mais n'en ont même pas besoin. Juste en 2017, les chercheurs en sécurité ont découvert comment exploiter Intel IME via USB pour exécuter du code non signé .
Le fait est que même si vous avez un système d'exploitation complètement sécurisé et que vous ne téléchargez jamais de logiciel non sécurisé ou malveillant, il existe toujours une possibilité non négligeable que vous puissiez être affecté par un malware qui contourne tout cela en exploitant une vulnérabilité de sécurité dans votre matériel (même lorsque votre ordinateur est censé être éteint).
Quelque chose que je n'ai pas vu ici:
Si l'attaquant obtient une autorisation suffisante pour installer même un micrologiciel UEFI officiel, correctement signé par le fabricant du système, il peut toujours laisser l'ordinateur dans un état non amorçable en éteignant de force l'ordinateur à un moment opportun au cours du processus.
Le code de mise à jour des firmwares modernes essaie généralement de minimiser le temps que l'ordinateur passe dans un état où une panne de courant entraînera la corruption du firmware, et certains firmwares ont même un mode de récupération qui s'activera dans ce cas.
Cependant, bon nombre de ces systèmes ne sont pas complètement à l'épreuve des balles. Bien qu'ils offrent une bonne protection contre les pannes de courant aléatoires, une mise hors tension au bon moment pourrait tout de même l'assommer si le micrologiciel n'a pas de fonction de récupération automatique robuste.
De plus, il n'est peut-être même pas nécessaire d'attaquer le micrologiciel du système principal. Presque tous les appareils d'un PC moderne ont un micrologiciel quelconque, et beaucoup d'entre eux peuvent être mis à jour via un logiciel. Ces appareils sont également souvent moins sécurisés. Ils peuvent accepter entièrement les firmwares non signés, ou au moins être moins résistants aux mises hors tension malveillantes pendant le processus de mise à jour.
Si vous détruisez le micrologiciel du contrôleur d'alimentation, du contrôleur de stockage, du périphérique de stockage, du périphérique vidéo ou du contrôleur d'entrée, le système peut devenir tout aussi inutilisable que si vous aviez attaqué l'UEFI.