Accueil » Actualité » Hacking Team a offert des rootkits pour UEFI

Hacking Team a offert des rootkits pour UEFI

Image 1 : Hacking Team a offert des rootkits pour UEFICode du rootkit de Hacking TeamTrendLabs vient de publier un rapport montrant que Hacking Team a vendu des rootkits, à des gouvernements, s’installant dans l’UEFI d’une machine et permettant d’espionner un système dès le démarrage de Windows, même si la machine a été reformatée. La société italienne s’est récemment fait dérober une montagne de documents qui montreraient qu’elle a vendu des outils de piratages à de nombreux états, dont certains faisant l’objet d’un embargo (cf. « The Hacking Team piraté, 400 Go de données volées »). Si ces faits sont avérés, la firme pourrait être sujette à de lourdes peines. Selon le TrendLabs, le rootkit permet de lire et écrire sur des supports de stockage NTFS. Il vérifie aussi à chaque démarrage la présence de programmes permettant d’espionner une machine et il peut les installer s’ils ne sont pas présents. Une analyse du code de Hacking Team a aussi permis de découvrir trois failles de sécurités importantes dans Flash que la compagnie italienne utilisait sans doute, puisqu’Adobe n’était pas au courant de leur existence et qu’il n’y avait donc aucun correctif pour les combler.

L’installation du rootkit demandait l’accès physique à la machine. Il est donc important d’activer UEFI SecureFlash, de mettre son BIOS à jour pour corriger des failles de sécurité et mettre un mot de passe à son UEFI pour rendre la tâche des pirates plus difficiles. Les rootkits ont été popularisés en 2005 lorsque l’on a découvert que Sony BMG les utilisait comme système de gestion de DRM (cf. « Un autre rootkit Sony pour remplacer le premier ») et que le programme du japonais vu détourné à des fins malveillantes (cf. « Premier virus utilisant le rootkit Sony »). Les virus de ce genre se sont alors multipliés (cf. « Le premier virus en rootkit »). Vu la complexité du code et la difficulté à installer ce genre de malware, le grand public est généralement à l’abri de ce type de virus qui cible des victimes qui ont une valeur importante. Néanmoins, ceux qui ont des craintes pourront toujours prendre les mesures citées plus haut. Elles sont simples à mettre en place et offrent une protection intéressante.