L’entreprise de cybersécurité Eclypsium a découvert une faille nommée BootHole dans un système de démarrage utilisé avec quasiment toutes les versions de Linux. Cela permet à un virus de contourner le démarrage sécurisé et de prendre le contrôle de la machine. Elle peut également affecter les ordinateurs équipés de Windows.

Cela vous intéressera aussi

Une nouvelle faillefaille découverte par des chercheurs de l'entreprise de cybersécurité Eclypsium risque d'apporter le grand retour des bootkits. Cette menace baptisée BootHole permet à un virusvirus de s'installer au cœur d'un ordinateur et de se charger avant même le démarrage du système d'exploitationsystème d'exploitation. Appelé bootkit, le malwaremalware obtient ainsi un accès total à la machine, et il est beaucoup plus difficile à détecter qu'un virus ordinaire. La faille se situe dans le bootloader (ou « chargeur d’amorçage ») GRUB2 qui accompagne quasiment toutes les versions de LinuxLinux. Toutefois, les ordinateursordinateurs qui fonctionnent sous Windows sont également visés.

À la mise sous tension de l'ordinateur, le micrologiciel de la carte mère, appelé UEFI sur la majorité des appareils récents, charge le bootloader, qui à son tour lance le démarrage du système d'exploitation. L'UEFI intègre un outil de démarrage sécurisé, appelé Secure Boot, qui vérifie l'intégritéintégrité du code du bootloader afin de s'assurer qu'il s'agit bien d'une version certifiée, sans danger pour l'ordinateur. La majorité des systèmes s'appuient sur une base de donnéesbase de données de certificatscertificats signés par Microsoft.

Cette faille grave est déjà dotée d’une illustration amusante, <em>BootHole</em> pouvant se traduire par « une faille au démarrage » mais aussi « un trou dans la botte ». © Eclypsium
Cette faille grave est déjà dotée d’une illustration amusante, BootHole pouvant se traduire par « une faille au démarrage » mais aussi « un trou dans la botte ». © Eclypsium

La faille est accessible via un fichier de configuration non vérifié

Le bootloader GRUB2 charge ses paramètres depuis un fichier séparé - grub.cfg - qui n'est pas vérifié. Il est donc possible d'y insérer un code spécifique qui exploite la faille découverte dans le programme. Même avec une mise à jour de GRUB2, toutes les versions précédentes contenant la faille restent signées, et donc acceptées par les systèmes. Il suffit donc de remplacer le bootloader par une version contenant la faille. Cette nouvelle menace affecte aussi les ordinateurs équipés de Windows même s'ils n'utilisent pas GRUB2. Il suffit d'installer GRUB2 au démarrage à l'insu de l'utilisateur, et il sera validé par l'UEFI Secure Boot.

Dans ce cas, ne suffirait-il pas que Microsoft mette simplement à jour la liste des versions autorisées ? Hélas non, car pour éviter les problèmes de droit d'auteur en modifiant GRUB2, beaucoup d'éditeurs de systèmes d'exploitation ajoutent leur propre couche logicielle qui est chargée avant. C'est cette couche qui est authentifiée par un certificat Microsoft, et qui à son tour vérifie l'intégrité de GRUB2. Il faut donc que chaque éditeur mette à jour son code.

Une faille qui n’est accessible que sur une machine déjà compromise

La bonne nouvelle est que cette faille ne rend pas la machine vulnérable à une attaque directe depuis InternetInternet. Accéder au bootloader nécessite un accès administrateur sur la machine. Il faut donc que l'ordinateur soit déjà infecté par un autre malware qui sera chargé d'installer GRUB2 ou simplement d'éditer son fichier de configuration.

La résolutionrésolution complète risque toutefois d'être très longue, car elle nécessite l'intervention de différents acteurs. Une nouvelle version de GRUB2 devra être publiée et installée, ainsi que les couches logicielslogiciels ajoutées par les vendeurs des systèmes. Tous ces éléments devront ensuite être signés avec un certificat Microsoft. Les systèmes d'exploitation devront être mis à jour, ainsi que les micrologiciels des cartes mères affectées. De plus, les mises à jour du bootloader et surtout de l'UEFI ne sont pas sans risque, car une seule erreur risque d'empêcher le démarrage de l'ordinateur. En attendant, il est encore plus crucial que jamais de s'assurer de disposer d'un logiciel antivirusantivirus à jour.