Windows 11 : un dangereux logiciel malveillant peut contourner le démarrage sécurisé de votre PC

Les chercheurs d’ESET ont publié la première analyse d'un bootkit UEFI capable de contourner UEFI Secure Boot, une fonction de sécurité critique de Windows. Cette menace porterait déjà un nom : BlackLotus.

Malware
Crédit : 123rf

BlackLotus, un bootkit UEFI vendu sur les forums de piratage pour environ 5 000 dollars, permet vraisemblablement désormais de contourner le Secure Boot de Windows 11 (ou le démarrage sécurisé, en français), ce qui en fait le premier logiciel malveillant connu à fonctionner sur les systèmes Windows même si la fonction de sécurité du microprogramme est activée.

Pour rappel, UEFI signifie Unified Extensible Firmware Interface, et il s’agit du successeur au microprogramme traditionnel BIOS (Basic Input/Output System). De son côté, Secure Boot est conçu pour garantir que le système ne démarre qu'avec des logiciels et des microprogrammes fiables. Bootkit, quant à lui, est un logiciel malveillant qui infecte le processus de démarrage d'un ordinateur.

BlackLotus devient l’un des logiciels malveillants les plus dangereux au monde

Les bootkits UEFI sont des menaces très puissantes, qui contrôlent entièrement le processus de démarrage du système d'exploitation et sont donc capables de désactiver divers mécanismes de sécurité du système d'exploitation et de déployer leurs propres charges utiles en mode noyau ou en mode utilisateur dans les premières étapes du démarrage de votre PC. Cela leur permet de fonctionner de manière très furtive et avec des privilèges élevés. Jusqu'à présent, seuls quelques-uns ont été découverts dans la nature et décrits publiquement.

BlackLotus peut notamment désactiver des mécanismes de sécurité du système d'exploitation tels que BitLocker, HVCI et Windows Defender. Une fois installé, l'objectif principal du bootkit est de déployer un pilote de noyau (qui, entre autres, protège le bootkit contre la suppression) et un téléchargeur HTTP responsable de la communication avec le serveur Command and Control et capable de charger des charges utiles supplémentaires en mode utilisateur ou en mode noyau.

Windows Defender
Crédit : piter2121 / 123RF

Lire égalementLes pirates mènent actuellement une attaque d’ampleur internationale, mettez vite ce logiciel à jour

BlackLotus serait très actif en Europe de l’Est

Pour fonctionner, BlackLotus exploiterait une vulnérabilité vieille de plus d'un an, CVE-2022-21894, pour contourner le processus de démarrage sécurisé et établir la persistance. Microsoft l’aurait bien corrigée en janvier 2022, mais aurait oublié d’ajouter les binaires concernés à la liste de révocation UEFI.

BlackLotus est programmé en langage Assembleur et C et fait 80 kilo-octets, et aurait déjà été utilisé pour infecter des PC en Arménie, au Belarus, au Kazakhstan, en Moldavie, en Roumanie, en Russie et en Ukraine. De notre côté, rappelons que la France est le 5e pays le plus visé par certaines cyberattaques.

Les premiers détails concernant BlackLotus sont apparus en octobre 2022. Sergey Lozhkin, chercheur en sécurité chez Kaspersky, l'a décrit comme un logiciel criminel sophistiqué. Pour l’instant, ESET pense que le logiciel malveillant n’a pas encore été utilisé par beaucoup de pirates, ce qui facilitera peut-être son éradication.

Comment éradiquer BlackLotus des PC infectés ?

Bien que BlackLotus soit furtif et dispose de nombreuses protections anti-suppression, les chercheurs d’ESET pensent avoir découvert une faiblesse dans la manière dont le téléchargeur HTTP transmet les commandes au pilote du noyau, ce qui pourrait permettre aux utilisateurs de supprimer le bootkit.

« Dans le cas où le téléchargeur HTTP souhaite transmettre une commande au pilote du noyau, il crée simplement une section nommée, écrit une commande avec les données associées à l'intérieur, et attend que la commande soit traitée par le pilote en créant un événement nommé et en attendant que le pilote le déclenche (ou le signale) », explique ESET.

Ainsi, le pilote du noyau prend en charge les commandes d'installation et de désinstallation et « peut être trompé pour désinstaller complètement le bootkit en créant les objets nommés susmentionnés et en envoyant la commande de désinstallation ».

ESET annonce déjà qu’une simple mise à jour de la liste de révocation UEFI atténuerait la menace posée par BlackLotus, mais ne permettrait pas de supprimer le bootkit des systèmes infectés. Pour cela, une nouvelle installation de Windows serait nécessaire, ainsi que la suppression de la clé MOK enregistrée par les attaquants (à l'aide de l'utilitaire mokutil, par exemple).

« Le meilleur conseil, bien sûr, est de maintenir votre système et son produit de sécurité à jour pour augmenter les chances qu'une menace soit arrêtée dès le début, avant qu'elle ne soit en mesure d'atteindre les systèmes pré-OS », conclut Smolár, le chercheur d’ESET.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Claude est en panne, l’IA aussi prend son jour férié

L’IA d’Anthropic, le très populaire Claude, connaît quelques défaillances techniques rendant le service indisponible ou peu performant. En ce lundi de Pâques, nous sommes nombreux à ne pas travailler, et…

IA

Le prix des processeurs Intel va encore augmenter, rien ne va plus

On ne nous épargne rien. Après l’envol du prix de la RAM et des SSD, c’est au tour des CPU de voir leur tarif grimper en flèche. Monter son propre…

Bonne nouvelle pour les propriétaires du Galaxy S25, Samsung leur réserve une surprise IA

Le Galaxy S26 a introduit des fonctions Galaxy AI inédites et laissé les utilisateurs du Galaxy S25 sur le carreau. Face aux critiques, Samsung a promis de rectifier le tir….

Ce jeu tourne-t-il sur mon PC ? Steam va afficher un framerate approximatif avant l’achat

Valve travaille sur une fonctionnalité permettant à Steam d’indiquer un framerate approximatif pour les jeux en fonction de la configuration du PC du joueur. Celui-ci pourrait alors décider plus facilement…

Samsung va lancer un Galaxy S27 Pro : qu’aura-t-il de différent avec le Galaxy S27 Ultra ?

Pour sa prochaine génération de smartphones haut de gamme, Samsung ajouterait un quatrième modèle à son catalogue : le Galaxy S27 Pro. Voici ce qu’on sait à son sujet. Apple…

Sur Artemis 2, c’est pas la Lune qui pose problème, ce sont les toilettes

Les toilettes d’Artemis 2 cumulent les incidents depuis le lancement. Urine bloquée, odeur de brûlé, vidange impossible. À quelques heures du survol lunaire, l’équipage fait avec les moyens du bord….

La plus grande mise à jour de Linux depuis des années débarque la semaine prochaine, c’est officiel

Linux 7.0 arrive et son créateur vient de donner le feu vert officiel. Le dernier candidat à la sortie s’est montré rassurant malgré un cycle de développement agité. Des millions…

PC

Le Pixel 8 souffre toujours de sérieux bugs de WiFi et Google refuse de les corriger

Plusieurs mois après l’apparition des premiers témoignages, il semblerait que le souci du Pixel 8 Pro avec les connexions WiFi et Bluetooth ne soit toujours pas résolu. À vrai dire,…

-30 % sur la Garmin Forerunner 255 : la montre sport de référence est à un prix imbattable

Montre GPS multisport parmi les meilleures de sa catégorie, la Garmin Forerunner 255 est à prix cassé. Grâce aux promos Choice Day d’AliExpress, elle profite d’une réduction de plus de…

Le Google Play Store va rendre les avis bien plus utiles avec cette nouveauté

Google envisage l’intégration d’une option aussi simple qu’efficace dans le Play Store. Elle donnerait une raison de parcourir les avis sans pour autant perdre son temps à tous les lire….

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.