BootHole, une faille redoutable qui affecte les ordinateurs équipés de Windows et Linux

Une nouvelle faille découverte par des chercheurs de l'entreprise de cybersécurité Eclypsium risque d'apporter le grand retour des bootkits. Cette menace baptisée BootHole permet à un virus de s'installer au cœur d'un ordinateur et de se charger avant même le démarrage du système d'exploitation. Appelé bootkit, le malware obtient ainsi un accès total à la machine, et il est beaucoup plus difficile à détecter qu'un virus ordinaire. La faille se situe dans le bootloader (ou « chargeur d’amorçage ») GRUB2 qui accompagne quasiment toutes les versions de LinuxLinux. Toutefois, les ordinateurs qui fonctionnent sous Windows sont également visés.

À la mise sous tension de l'ordinateur, le micrologiciel de la carte mère, appelé UEFI sur la majorité des appareils récents, charge le bootloader, qui à son tour lance le démarrage du système d'exploitation. L'UEFI intègre un outil de démarrage sécurisé, appelé Secure Boot, qui vérifie l'intégrité du code du bootloader afin de s'assurer qu'il s'agit bien d'une version certifiée, sans danger pour l'ordinateur. La majorité des systèmes s'appuient sur une base de données de certificatscertificats signés par MicrosoftMicrosoft.

Cette faille grave est déjà dotée d’une illustration amusante, BootHole pouvant se traduire par « une faille au démarrage » mais aussi « un trou dans la botte ». © Eclypsium

La faille est accessible via un fichier de configuration non vérifié

Le bootloader GRUB2 charge ses paramètres depuis un fichier séparé - grub.cfg - qui n'est pas vérifié. Il est donc possible d'y insérer un code spécifique qui exploite la faille découverte dans le programme. Même avec une mise à jour de GRUB2, toutes les versions précédentes contenant la faille restent signées, et donc acceptées par les systèmes. Il suffit donc de remplacer le bootloader par une version contenant la faille. Cette nouvelle menace affecte aussi les ordinateurs équipés de Windows même s'ils n'utilisent pas GRUB2. Il suffit d'installer GRUB2 au démarrage à l'insu de l'utilisateur, et il sera validé par l'UEFI Secure Boot.

Dans ce cas, ne suffirait-il pas que Microsoft mette simplement à jour la liste des versions autorisées ? Hélas non, car pour éviter les problèmes de droit d'auteur en modifiant GRUB2, beaucoup d'éditeurs de systèmes d'exploitation ajoutent leur propre couche logicielle qui est chargée avant. C'est cette couche qui est authentifiée par un certificat Microsoft, et qui à son tour vérifie l'intégrité de GRUB2. Il faut donc que chaque éditeur mette à jour son code.

Une faille qui n’est accessible que sur une machine déjà compromise

La bonne nouvelle est que cette faille ne rend pas la machine vulnérable à une attaque directe depuis InternetInternet. Accéder au bootloader nécessite un accès administrateur sur la machine. Il faut donc que l'ordinateur soit déjà infecté par un autre malware qui sera chargé d'installer GRUB2 ou simplement d'éditer son fichier de configuration.

La résolutionrésolution complète risque toutefois d'être très longue, car elle nécessite l'intervention de différents acteurs. Une nouvelle version de GRUB2 devra être publiée et installée, ainsi que les couches logicielslogiciels ajoutées par les vendeurs des systèmes. Tous ces éléments devront ensuite être signés avec un certificat Microsoft. Les systèmes d'exploitation devront être mis à jour, ainsi que les micrologiciels des cartes mèrescartes mères affectées. De plus, les mises à jour du bootloader et surtout de l'UEFI ne sont pas sans risque, car une seule erreur risque d'empêcher le démarrage de l'ordinateur. En attendant, il est encore plus crucial que jamais de s'assurer de disposer d'un logiciel antivirusantivirus à jour.