Des pirates ont réussi pour la deuxième fois à intégrer un malware dans l’UEFI, un micrologiciel reliant la carte mère au système d’exploitation, ce qui représente en sécurité informatique le pire scénario possible, par la suite l’éditeur Kaspersky en a découvert une récente forme sur deux ordinateurs.

Les experts en sécurité de n’importe quel éditeur d’antivirus chassent quotidiennement des malwares. Chez Kaspersky, le dernier virus découvert représente la pire espèce. MosaicRegressor est un malware caché dans l’UEFI, et c’est aussi rare que dangereux. L’UEFI (Unified Extensible Firmwre Interface), représente l’interface qui prend le relais du Bios (Basic Input Output System), avec des fonctionnalités plus évoluées.

C’est ce micro-logiciel, installé sur la carte-mère, qui se lance au démarrage afin de faire communiquer tous les composants entre eux, mais aussi et surtout pour avoir accès au système d’exploitation et assurer son lancement. Il n’est pas possible de le changer vu qu’il est lié à la carte mère, et afin de l’améliorer, il est simplement possible de le mettre à jour. Une telle opération est appelée le « flashage » car il est installé sur un composant de mémoire Flash.

Le problème est que des pirates ont réussi à se glisser sur cette mémoire, et c’est le pire scénario possible parce que l’UEFI se lance avant le système d’exploitation. Jusqu’à présent, MosaicRegressor a été repéré sur deux ordinateurs uniquement, qui appartiennent à des diplomates asiatiques.

Lors de chaque démarrage, MosaicRegressor vérifie si son fichier malveillant « IntelUpdate.exe » se trouve dans le dossier de démarrage de Windows. Si ce n’est pas le cas, il ajoute le fichier. Il agit comme un cheval de Troie, pour ensuite prendre le contrôle de l’ordinateur, puis installer tout ce qu’il désire. Et ceci, sans que l’utilisateur ne détecte sa présence. Kaspersky n’a pas encore pu cerner la totalité des dommages causés, mais le malware permet par exemple la récupération des fichiers sur les systèmes dans lesquels il est installé.

Des indices au niveau du code du virus démontrent que les pirates sont originaires de Chine, et pour atteindre leurs objectifs, il leur a fallu mettre à jour le firmware de la carte-mère. Une opération assez compliquée qui échoue souvent, et qui nécessite forcément un accès à l’ordinateur ciblé. Le virus ne se transmet donc pas par Internet, mais entre les ordinateurs, à travers une clé ou un disque USB avec un firmware vérolé de l’UEFI.