L’étude sur les activités du groupe de cyber-espionnage Equation qui vient juste d’être publiée par l’équipe GReAT de Kaspersky lab décrit quelques merveilles technologiques. Cet ancien et puissant groupe de hackers a produit des séries très complexes d’ » implants » malveillants, mais la trouvaille la plus intéressante est l’habilité du malware à reprogrammer le disque dur de la victime, rendant ainsi ses » implants » invisibles et presque indestructibles.
Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet – http://t.co/FsaH0Jzq5O
— Kim Zetter (@KimZetter) February 16, 2015
Il s’agit d’une des histoires effrayantes les plus attendues dans le monde de la sécurité informatique. Depuis des décennies, on attend parler de la légende urbaine d’un virus incurable qui serait capable de rester dans un ordinateur pour toujours, mais il semble que des individus auraient dépensé quelques millions de dollars afin que la légende devienne réalité. Certains articles rapportant l’histoire d’Equation vont jusqu’à dire que cela permettrait aux hackers » d’espionner la majorité des ordinateurs sur la planète « . Néanmoins, nous souhaitons vous rassurez car cette habilité restera certainement tellement rare que vous aurez plus de chances de croiser un panda marcher dans la rue.
Commençons par expliquer ce que » reprogrammer le disque dur d’un ordinateur » signifie. Un disque dur est constitué de deux composants essentiels : un support de mémoire (des disques magnétiques pour les disques durs HDD classiques ou des puces de mémoire flash pour les SSD) et une micro-puce qui contrôle la lecture et l’écriture du disque ainsi que de nombreuses autres procédures, comme par exemple, la détection et la correction des erreurs. Ces procédures sont nombreuses et complexes, la puce utilise donc son propre programme sophistiqué, techniquement parlant, il s’agit d’un petit ordinateur à elle seule. Le programme de la puce est appelé micro-logiciel (ou firmware) et les fabricants de disques durs veulent parfois les mettre à jour afin de corriger des erreurs ou d’en améliorer les performances.
Le groupe Equation a tiré parti de ce mécanisme et est capable de télécharger son micro-logiciel sur 12 » catégories » différentes de disques durs (fabricants/variations). Les fonctionnalités de ce micro-logiciel restent inconnues mais le malware présent sur l’ordinateur obtient l’habilité d’écrire et de lire des données sur/depuis une zone spécifique du disque dur. Nous supposons que cette zone devient complètement occultée dans le système d’exploitation et plus particulièrement des logiciels d’analyse. Les données de cette zone pourrait survivre à un reformatage du disque dur, et le micro-logiciel serait en théorie capable de réinfecter la zone de démarrage du disque dur afin d’infecter les systèmes d’exploitation fraichement installés dès le début. Pour compliquer encore plus les choses, l’analyse et la reprogrammation du micro-logiciel dépendent du micro-logiciel lui-même, il n’est donc pas possible de vérifier l’intégrité du micro-logiciel ou la fiabilité de celui-ci. En d’autres termes, une fois infecté, le micro-logiciel du disque dur est indétectable et presque indestructible. Il serait plus facile et moins coûteux de jeter le disque dur suspect et d’en racheter un nouveau.
Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth…
— Matthew Green (@matthew_d_green) February 17, 2015
Mais ne vous jetez pas sur votre tournevis – nous ne pensons pas que cette habilité deviendra répandue. Le groupe Equation lui-même ne l’a certainement utilisé que quelques fois, car les modules infectant les disques durs HDD sont extrêmement rare sur les systèmes d’exploitation de victimes. Pour commencer, reprogrammer un disque dur est bien plus complexe que de créer un logiciel Windows par exemple. Chaque modèle de disque dur est unique et il est extrêmement cher et compliqué de développer d’autres versions du micro-logiciel. Un hacker doit obtenir la documentation interne du fabricant du disque dur (ce qui est déjà mission impossible), acheter des disques du même modèle, développer et tester les fonctionnalités requises et infiltrer des fonctions malveillantes dans le micro-logiciel existant tout en veillant à ce qu’il conserve ses fonctionnalités d’origine. Il s’agit d’une ingénierie extrêmement complexe qui requiert des mois de développement et des millions d’investissement. C’est pourquoi il n’est pas envisageable d’utiliser ce type de technologies dans des malwares criminels ou même dans des attaques ciblées. De plus, le développement de micro-logiciel requiert évidemment une approche boutique qu’il est difficile de mettre en place. De nombreux fabricants créer des micro-logiciels pour différents disques durs tous les mois, de nouveaux modèles sortent constamment et pirater chacun d’eux est tout juste impossible (et inutile) pour le groupe Equation – et n’importe qui d’autre.
"..it would take a very skilled programmer many months or years to master" reprogramming hard drives, says @vkamluk #TheSAS2015
— Kelly Jackson Higgins (@kjhiggins) February 17, 2015
La conclusion pratique de cette histoire est qu’un malware capable d’infecter un disque dur HDD existe désormais mais l’utilisateur moyen n’est pas en danger. Ne détruisez pas votre disque dur à coup de marteau, sauf peut-être si vous travaillez dans le nucléaire en Iran. Faites plus attention aux risques bien plus ennuyeux mais aussi bien plus probables comme être piraté à cause d’un mauvais mot de passe ou aux antivirus obsolètes.