– Description :

Lors de la conférence Black Hat à Las Vegas, réunissant les plus grands experts en sécurité informatique, le chercheur Peter Kleissner, agé seulement de 18 ans, a présenté un bootkit baptisé Stoned.

Les bootkits sont des malwares permettant de dissimuler leur activité avec une fonction de chargement depuis les secteurs de démarrage MBR (Master Boot Record). Ces logiciels sont chargés avant le système d’exploitation lors du démarrage de l’ordinateur, c’est pourquoi ils sont très difficilement détectables par les antivirus.

Une nouvelle fonctionnalité vient d’être présentée lors de cette conférence : le contournement du système de chiffrement TrueCrypt.
TrueCrypt est un logiciel utilisé pour sécuriser une partition d’un disque dur ou le système d’exploitation en chiffrant l’ensemble des données. Ainsi, un pirate volant un ordinateur ne pourrait pas découvrir les données protégées.

Le bootkit "Stoned" est capable de modifier la zone d’amorce non chiffrée d’un disque dur et donc d’activer le malware avant même que le système d’exploitation ne soit chargé. Ce bootkit permet d’infecter toutes les versions 32 bits de Windows : du système d’exploitation Windows 2000 jusqu’à Windows 7, le dernier système de Microsoft disponible très prochainement.

Au démarrage d’une machine, c’est le BIOS qui charge Stoned. Le BIOS est un ensemble de fonctions, contenu dans la mémoire morte (ROM) de la carte mère d’un ordinateur, lui permettant d’effectuer des opérations élémentaires lors de sa mise sous tension.

Une fois le système d’exploitation lancé, Stoned est alors capable d’installer un ou plusieurs programmes malicieux, permettant ainsi de récupérer des informations personnelles sur l’utilisateur de la machine. Stoned dispose également d’un système de plug-ins afin de rajouter plusieurs fonctionnalités. Le chercheur indique que les sources de son bootkit seront disponibles sur son site et permettront entre autres aux gouvernements de créer des programmes indétectables qui pourraient être installés sur les machines de suspects.

À présent, seul le système de chiffrement BitLocker Drive Encryption, intégré au sein de Windows Serveur 2008 et des versions Entreprise, Professionnelle et Intégrale de Vista, offre un mode de protection basé sur la technologie TPM (Trusted Platform Module) chiffrant l’intégralité du disque dur. Dans ce cas, si Stoned venait à être introduit au sein de la zone amorce (MBR), l’empreinte numérique de cette dernière serait modifiée et le processus de démarrage serait alors interrompu.

– Référence :

http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-SLIDES.pdf

http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1249462778