Les attaques du firmware (BIOS/UEFI) : Comprendre, prévenir et se protéger

Le firmware, qu'il s'agisse du BIOS (Basic Input/Output System) ou de l'UEFI (Unified Extensible Firmware Interface), constitue le socle logiciel fondamental d'un ordinateur. Son rôle est d'initialiser les composants matériels et de lancer le système d'exploitation. En raison de sa position critique dans l'architecture système, le firmware est devenu une cible privilégiée pour les cybercriminels cherchant à établir un contrôle durable sur les machines ciblées.

Nature et implications des attaques du firmware

Les attaques visant le firmware présentent des caractéristiques particulièrement préoccupantes :

1. Persistance : Le code malveillant peut s'implanter directement dans la puce BIOS/UEFI, permettant une réinfection à chaque démarrage.
2. Furtivité : Opérant à un niveau inférieur au système d'exploitation, ces attaques échappent souvent aux solutions de sécurité traditionnelles.
3. Privilèges élevés : L'accès au firmware offre potentiellement un contrôle total sur les ressources matérielles de l'ordinateur.
4. Difficulté de remédiation : La détection et l'éradication de ces menaces nécessitent des outils et des compétences spécifiques.

Vecteurs d'attaque principaux

1. Exploitation de périphériques USB

Les attaquants peuvent utiliser des clés USB malveillantes pour exploiter les fonctionnalités de démarrage ou de mise à jour du firmware. Le malware Mebromi, ciblant certains BIOS Award/Phoenix, illustre cette approche en injectant du code malveillant lors des mises à jour initiées depuis un périphérique USB compromis.

2. Vulnérabilités logicielles

Des failles dans les pilotes ou les utilitaires de mise à jour fournis par les constructeurs peuvent être exploitées pour accéder directement à la mémoire flash du BIOS/UEFI. Le rootkit LoJax, attribué au groupe APT28/Fancy Bear, a démontré l'efficacité de cette méthode en s'implantant dans la partition EFI pour assurer sa persistance.

3. Usurpation de mises à jour légitimes

Les cybercriminels peuvent se faire passer pour des sources légitimes de mises à jour du firmware ou compromettre les serveurs de distribution pour propager des versions modifiées malveillantes.

4. Exploits zero-day

Les vulnérabilités non divulguées du firmware représentent une menace significative, particulièrement exploitée par les groupes APT (Advanced Persistent Threats). Ces failles permettent de modifier la séquence de démarrage ou de désactiver des mécanismes de sécurité critiques comme le Secure Boot.

Stratégies de protection

Pour réduire les risques d'attaques du firmware, il est recommandé de mettre en œuvre les mesures suivantes :

1. Mise à jour régulière du firmware

Il est crucial d'appliquer systématiquement les correctifs de sécurité et les mises à jour du BIOS/UEFI fournis par les fabricants. Ces mises à jour corrigent souvent des vulnérabilités connues et renforcent la sécurité globale du système.

2. Activation du Secure Boot

Le Secure Boot, disponible sur les systèmes UEFI récents, vérifie l'intégrité et l'authenticité des composants logiciels chargés au démarrage. Son activation permet de bloquer le chargement de firmwares ou de bootloaders non signés, réduisant ainsi le risque d'exécution de code malveillant.

Procédure d'activation :

• Accéder au BIOS/UEFI (généralement via la touche Suppr, F2 ou Esc au démarrage)
• Localiser l'option Secure Boot ou Démarrage sécurisé
• Activer l'option (Enabled)
• Sauvegarder les modifications et redémarrer

3. Gestion prudente des mises à jour automatiques

Les fonctionnalités de mise à jour automatique du firmware via Internet peuvent présenter des risques si elles sont mal sécurisées. Il est recommandé de :

• Désactiver les options de type "Internet BIOS Update" ou "Network BIOS Flash" si leur sécurité n'est pas garantie
• Privilégier les mises à jour manuelles téléchargées depuis le site officiel du fabricant

4. Contrôle strict des périphériques USB

Pour limiter les risques d'attaques via USB :

• Éviter de connecter des périphériques USB non fiables, particulièrement au démarrage de l'ordinateur
• Désactiver l'option "Boot from USB" dans le BIOS/UEFI si cette fonctionnalité n'est pas nécessaire

5. Surveillance et détection

Bien que les signes d'une compromission du firmware puissent être subtils, il convient de rester vigilant face à des comportements anormaux, tels que la réinitialisation inexpliquée des paramètres du BIOS.

Certains fabricants proposent des outils spécifiques pour vérifier l'intégrité du firmware :

• HP Sure Start
• Lenovo ThinkShield
• Dell BIOS Verification

Il est recommandé d'utiliser ces utilitaires régulièrement ou en cas de suspicion de compromission.

Conclusion

Les attaques visant le firmware représentent une menace sérieuse pour la sécurité des systèmes informatiques. Leur capacité à persister et à opérer en dehors du champ d'action des solutions de sécurité traditionnelles en fait un défi majeur pour les professionnels de la cybersécurité. Une approche proactive, combinant mises à jour régulières, activation des mécanismes de sécurité intégrés, et vigilance accrue, est essentielle pour réduire les risques associés à ces attaques sophistiquées. La formation continue des équipes IT et la sensibilisation des utilisateurs aux bonnes pratiques de sécurité complètent ces mesures techniques pour établir une défense en profondeur contre les menaces ciblant le firmware.