agsandrew - stock.adobe.com
Crowdstrike s’attaque à la protection du BIOS
L’éditeur de technologies dans la cybersécurité vient d’ajouter à sa plateforme Falcon des capacités de détection d’attaques, visant le système de contrôle des entrées/sorties de base des ordinateurs et serveurs.
C’était en fin d'année 2014. Les travaux de plusieurs chercheurs mettaient en évidence le risque d’installation de maliciels furtifs persistants en s’appuyant sur le logiciel interne de démarrage des ordinateurs, l’UEFI. Environ deux ans plus tard, Intel invitait à vérifier l’intégrité de l’UEFI et de son prédécesseur, le Bios. Cette recommandation faisait suite à des révélations de Wikileaks sur des activités attribuées à l’agence américaine du renseignement, la NSA : selon celles-ci, l’agence se serait intéressée de près à la compromission des ordinateurs personnels au plus bas niveau, celui de leur firmware. Et à l’automne dernier, les analystes d’Eset alertaient sur Lojax, visant lui l’UEFI et attribué au groupe APT28.
Si la menace peut paraître relativement isolée, le sujet n’en est pas moins d’importance : avec un tel positionnement, un maliciel peut résister à la réinstallation du système d’exploitation comme au remplacement du disque dur.
Las, pour Crowdstrike, « les outils de sécurité modernes se concentrent sur la détection des attaques au niveau du système d’exploitation et au-dessus, mais n’offre que peu de visibilité sur les couches basses des plateformes informatiques modernes ». Et Alex Ionescu, vice-président de l’éditeur en charge de la stratégie EDR (détection et de remédiation sur les hôtes du système d’information), d’annoncer ainsi le lancement d’une « nouvelle fonction qui offre une visibilité sur les micrologiciels des divers systèmes existants ». Parce qu’il l’assure, « nous observons de plus en plus des attaquants qui trouvent des moyens de contourner les solutions actuelles en passant au niveau du micrologiciel, où il n'y a pas ou très peu de visibilité ».
La nouvelle fonction de la plateforme Falcon s’appuie sur la collecte d’une empreinte des images et de la configuration du BIOS. L’éditeur prévoit d’ailleurs d’aller au-delà du seul Bios. Mais Dell en profite déjà en jouant l’intégration avec son SafeBios. Cette fonctionnalité s’intègre en outre à VMware Workspace One et Secureworks.