{"id":4290,"date":"2015-02-17T15:41:55","date_gmt":"2015-02-17T15:41:55","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4290"},"modified":"2020-02-26T15:51:29","modified_gmt":"2020-02-26T15:51:29","slug":"cyber-espions-equation-malware-indestructible","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cyber-espions-equation-malware-indestructible\/4290\/","title":{"rendered":"Le groupe de cyber-espions Equation a cr\u00e9\u00e9 un malware indestructible \u2013 mais ne paniquez pas !"},"content":{"rendered":"<p>L\u2019\u00e9tude sur <a href=\"https:\/\/securelist.com\/blog\/research\/68750\/equation-the-death-star-of-malware-galaxy\/\" target=\"_blank\" rel=\"noopener\">les activit\u00e9s du groupe de cyber-espionnage Equation<\/a> qui vient juste d\u2019\u00eatre publi\u00e9e par l\u2019\u00e9quipe GReAT de Kaspersky lab d\u00e9crit quelques merveilles technologiques. Cet ancien et puissant groupe de hackers a produit des s\u00e9ries tr\u00e8s complexes d\u2019\u00a0\u00a0\u00bb\u00a0implants\u00a0\u00a0\u00bb malveillants, mais la trouvaille la plus int\u00e9ressante est l\u2019habilit\u00e9 du malware \u00e0 reprogrammer le disque dur de la victime, rendant ainsi ses \u00a0\u00bb\u00a0implants\u00a0\u00a0\u00bb invisibles et presque indestructibles.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Suite of Sophisticated Nation-State Attack Tools Found With Connection to Stuxnet \u2013 <a href=\"http:\/\/t.co\/FsaH0Jzq5O\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/FsaH0Jzq5O<\/a><\/p>\n<p>\u2014 Kim Zetter (@KimZetter) <a href=\"https:\/\/twitter.com\/KimZetter\/status\/567400308045647872?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 16, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>\u00a0<\/p>\n<p>Il s\u2019agit d\u2019une des histoires effrayantes les plus attendues dans le monde de la s\u00e9curit\u00e9 informatique. Depuis des d\u00e9cennies, on attend parler de la l\u00e9gende urbaine d\u2019un virus incurable qui serait capable de rester dans un ordinateur pour toujours, mais il semble que des individus auraient d\u00e9pens\u00e9 quelques millions de dollars afin que la l\u00e9gende devienne r\u00e9alit\u00e9. Certains articles rapportant l\u2019histoire d\u2019Equation vont jusqu\u2019\u00e0 dire que cela permettrait aux hackers \u00a0\u00bb\u00a0<a href=\"http:\/\/www.reuters.com\/article\/2015\/02\/16\/us-usa-cyberspying-idUSKBN0LK1QV20150216\" target=\"_blank\" rel=\"noopener nofollow\">d\u2019espionner la majorit\u00e9 des ordinateurs sur la plan\u00e8te\u00a0<\/a>\u00ab\u00a0. N\u00e9anmoins, nous souhaitons vous rassurez car cette habilit\u00e9 restera certainement tellement rare que vous aurez plus de chances de croiser un panda marcher dans la rue.<\/p>\n<p>Commen\u00e7ons par expliquer ce que \u00a0\u00bb\u00a0reprogrammer le disque dur d\u2019un ordinateur\u00a0\u00a0\u00bb signifie. Un disque dur est constitu\u00e9 de deux composants essentiels\u00a0: un support de m\u00e9moire (des disques magn\u00e9tiques pour les disques durs HDD classiques ou des puces de m\u00e9moire flash pour les SSD) et une micro-puce qui contr\u00f4le la lecture et l\u2019\u00e9criture du disque ainsi que de nombreuses autres proc\u00e9dures, comme par exemple, la d\u00e9tection et la correction des erreurs. Ces proc\u00e9dures sont nombreuses et complexes, la puce utilise donc son propre programme sophistiqu\u00e9, techniquement parlant, il s\u2019agit d\u2019un petit ordinateur \u00e0 elle seule. Le programme de la puce est appel\u00e9 micro-logiciel (ou firmware) et les fabricants de disques durs veulent parfois les mettre \u00e0 jour afin de corriger des erreurs ou d\u2019en am\u00e9liorer les performances.<\/p>\n<p>Le groupe Equation a tir\u00e9 parti de ce m\u00e9canisme et est capable de t\u00e9l\u00e9charger son micro-logiciel sur 12 \u00a0\u00bb\u00a0cat\u00e9gories\u00a0\u00a0\u00bb diff\u00e9rentes de disques durs (fabricants\/variations). Les fonctionnalit\u00e9s de ce micro-logiciel restent inconnues mais le malware pr\u00e9sent sur l\u2019ordinateur obtient l\u2019habilit\u00e9 d\u2019\u00e9crire et de lire des donn\u00e9es sur\/depuis une zone sp\u00e9cifique du disque dur. Nous supposons que cette zone devient compl\u00e8tement occult\u00e9e dans le syst\u00e8me d\u2019exploitation et plus particuli\u00e8rement des logiciels d\u2019analyse. Les donn\u00e9es de cette zone pourrait survivre \u00e0 un reformatage du disque dur, et le micro-logiciel serait en th\u00e9orie capable de r\u00e9infecter la zone de d\u00e9marrage du disque dur afin d\u2019infecter les syst\u00e8mes d\u2019exploitation fraichement install\u00e9s d\u00e8s le d\u00e9but. Pour compliquer encore plus les choses, l\u2019analyse et la reprogrammation du micro-logiciel d\u00e9pendent du micro-logiciel lui-m\u00eame, il n\u2019est donc pas possible de v\u00e9rifier l\u2019int\u00e9grit\u00e9 du micro-logiciel ou la fiabilit\u00e9 de celui-ci. En d\u2019autres termes, une fois infect\u00e9, le micro-logiciel du disque dur est ind\u00e9tectable et presque indestructible. Il serait plus facile et moins co\u00fbteux de jeter le disque dur suspect et d\u2019en racheter un nouveau.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Normal malware: check. HDD firmware malware: check. Now we just need to worry about GPU, USB, FireWire, webcam, NIC, baseband, Bluetooth\u2026<\/p>\n<p>\u2014 Matthew Green (@matthew_d_green) <a href=\"https:\/\/twitter.com\/matthew_d_green\/status\/567473604347326466?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Mais ne vous jetez pas sur votre tournevis \u2013 nous ne pensons pas que cette habilit\u00e9 deviendra r\u00e9pandue. Le groupe Equation lui-m\u00eame ne l\u2019a certainement utilis\u00e9 que quelques fois, car les modules infectant les disques durs HDD sont extr\u00eamement rare sur les syst\u00e8mes d\u2019exploitation de victimes. Pour commencer, reprogrammer un disque dur est bien plus complexe que de cr\u00e9er un logiciel Windows par exemple. \u00a0Chaque mod\u00e8le de disque dur est unique et il est extr\u00eamement cher et compliqu\u00e9 de d\u00e9velopper d\u2019autres versions du micro-logiciel. Un hacker doit obtenir la documentation interne du fabricant du disque dur (ce qui est d\u00e9j\u00e0 mission impossible), acheter des disques du m\u00eame mod\u00e8le, d\u00e9velopper et tester les fonctionnalit\u00e9s requises et infiltrer des fonctions malveillantes dans le micro-logiciel existant tout en veillant \u00e0 ce qu\u2019il conserve ses fonctionnalit\u00e9s d\u2019origine. Il s\u2019agit d\u2019une ing\u00e9nierie extr\u00eamement complexe qui requiert des mois de d\u00e9veloppement et des millions d\u2019investissement. C\u2019est pourquoi il n\u2019est pas envisageable d\u2019utiliser ce type de technologies dans des malwares criminels ou m\u00eame dans des attaques cibl\u00e9es. De plus, le d\u00e9veloppement de micro-logiciel requiert \u00e9videmment une approche boutique qu\u2019il est difficile de mettre en place. De nombreux fabricants cr\u00e9er des micro-logiciels pour diff\u00e9rents disques durs tous les mois, de nouveaux mod\u00e8les sortent constamment et pirater chacun d\u2019eux est tout juste impossible (et inutile) pour le groupe Equation \u2013 et n\u2019importe qui d\u2019autre.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"..it would take a very skilled programmer many months or years to master\" reprogramming hard drives, says <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2015?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2015<\/a><\/p>\n<p>\u2014 Kelly Jackson Higgins (@kjhiggins) <a href=\"https:\/\/twitter.com\/kjhiggins\/status\/567654279897686016?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La conclusion pratique de cette histoire est qu\u2019un malware capable d\u2019infecter un disque dur HDD existe d\u00e9sormais mais l\u2019utilisateur moyen n\u2019est pas en danger. Ne d\u00e9truisez pas votre disque dur \u00e0 coup de marteau, sauf peut-\u00eatre si vous travaillez dans le nucl\u00e9aire en Iran. Faites plus attention aux risques bien plus ennuyeux mais aussi bien plus probables comme \u00eatre pirat\u00e9 \u00e0 cause d\u2019un <a href=\"https:\/\/www.kaspersky.fr\/blog\/idees-recues-sur-les-mots-de-passe\/4127\/\" target=\"_blank\" rel=\"noopener\">mauvais mot de passe<\/a> ou aux <a href=\"https:\/\/www.kaspersky.fr\/free-trials\/home-security\" target=\"_blank\" rel=\"noopener\">antivirus<\/a> obsol\u00e8tes.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un malware qui ne peut pas \u00eatre supprim\u00e9 du disque dur de sa victime existe d\u00e9sormais. N\u00e9anmoins, il est tellement rare et cher que vous ne tomberez certainement jamais dessus. <\/p>\n","protected":false},"author":32,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[1032,268,1033,148,43,1031,938],"class_list":{"0":"post-4290","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-disque-dur","9":"tag-espionnage","10":"tag-hdd","11":"tag-malwares","12":"tag-pirates","13":"tag-sas2015","14":"tag-stuxnet"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cyber-espions-equation-malware-indestructible\/4290\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/disque-dur\/","name":"disque dur"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4290","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=4290"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4290\/revisions"}],"predecessor-version":[{"id":14268,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4290\/revisions\/14268"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=4290"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=4290"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=4290"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}