Lojax : un malware situé à la racine du démarrage du système d’exploitation

Ce sont des ingénieurs d’une société concevant des antivirus qui ont fait la découverte : ils ont ainsi détecté un malware qui prend pour cible l’UEFI, (Unified Extensible Firmware Interface, « Interface micrologicielle extensible unifiée »). Il s’agit d’un logiciel intermédiaire entre le micrologiciel (firmware) et le système d’exploitation (OS) d’un ordinateur. Le malware Lojax se loge précisément à la racine du démarrage du système d’exploitation. Il émane de pirates russes.

Services secrets: découverte du malware Casper

Ce sont des chercheurs de la société ESET, dédiés  à la conception d’antivirus, qui sont à l’origine de cette découverte, qui est une première : la localisation d’un malware capable d’exploiter le dispositif UEFI. Cela permet ainsi d’impacter la racine du démarrage du système d’exploitation.

Lojax : un premier malware exploitant le système UEFI

Les chercheurs ont appelé ce malware Lojax. Celui-ci se trouvait dans un programme commercial. Lojax est parvenu ensuite à créer une porte dérobée dans le système d’exploitation. Il a la particularité de pouvoir résister et survivre à une attaque antivirus, et même à une réinstallation complète du système.

Et les experts de l’ESET mettent en cause l’UEFI, ce qui a déjà été le cas par le passé. Il faut dire que le dispositif correspond à un système d’exploitation ayant un fonctionnement autonome par rapport à l’ordinateur, et qu’il constitue une porte ouverte pour les pirates voulant créer des portes dérobées ou des logiciels malveillants.

> Lire aussi :  Quelqu’un a créé une appli « Windows 95 » pour Windows, Mac et Linux

Un piratage d’origine russe

A noter que Lojax peut lire et écrire à distance sur la mémoire de l’UEFI. Quant à l’origine du malware, les chercheurs de la société ESET ont précisé sur le site welivesecurity qu’il avait été créé par un groupe de pirates russes, le même qui avait piraté des documents et conversations du Parti Démocrate lors des dernières élections présidentielles aux États-Unis.

Lojax fait partie quant à lui d’un projet qui a plus de quatre ans. On retrouve des premières traces du dispositif à l’occasion de tentatives de piratages de PC qui se trouvaient localisés aussi bien dans les Balkans qu’en Europe centrale.

Il faut savoir qu’il n’est pas aisé de se préserver de telles menaces. Plusieurs experts conseillent de vérifier que Secure Boot est bien activé sur les firmwares récents. Quant à la société ESET, elle propose « UEFI Scanner » qui permet de détecter les codes malveillants dans le firmware d’un PC.


Un commentaire

Commenter

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.