Comment posséder un ordinateur en seulement 80 Ko
BlackLotus a fait la une des journaux l’année dernière, après que certaines bizarreries aient été détectées et soumises à VirusTotal. Ces détections initiales et d’autres activités suspectes signalées à ESET suggéraient qu’il s’agissait de quelque chose de nouveau. L’infection semblait exceptionnellement résistante, survivant à la réimagerie, aux remplacements de disques durs et au démarrage sécurisé UEFI. Il a fallu un certain temps aux experts pour démêler BlackLotus et déterminer exactement ce qui se passait, mais ils ont finalement réussi et les nouvelles ne sont pas bonnes.
BlackLotus infecte l’UEFI de votre carte mère, plus précisément la partition système EFI qui est pas protégé par les mêmes fonctionnalités de sécurité que celles trouvées sur la puce SPI que vous mettez à jour chaque fois que vous flashez vers un nouveau BIOS. Cela permet à l’infection de se charger avant Secure Boot ou l’une des autres fonctionnalités de sécurité de votre matériel, ce qui lui donne le temps de faire un mauvais tour. Le logiciel malveillant enregistre sa propre clé de propriétaire de machine comme valide, en combinaison avec un chargeur de shim signé par divers distributeurs Linux. À ce stade, chaque redémarrage déclenche le bootkit, garantissant que les attaquants sont toujours en mesure de charger toutes les infections que votre antivirus parvient à supprimer.
C’est la véritable utilisation de BlackLotus, la capacité de rendre une machine de manière permanente vulnérable à d’autres attaques de logiciels malveillants en accordant un accès administrateur aux processus afin de tirer parti de toute autre vulnérabilité système présente sur votre système. Il n’y a rien que vous puissiez faire pour le supprimer si vous avez été infecté, à moins de jeter votre carte mère. Cependant, garder votre système à jour avec des correctifs limitera les infections secondaires qui protégeront contre les infections secondaires que BlackLotus essaie de charger sur votre système.