Lorsque Xeno Kovah et Corey Kallenberg dévoilent l’omnipotence de leur virus-Bios « light eater » à l’occasion de la dernière CanSecWest, les principaux fabricants d’ordinateurs réagissent et corrigent. Pensez-donc, un virus capable de s’installer dans pratiquement tous les Bios de la création, là où aucun antivirus ne peut agir, et contre lequel même les mécanismes de sécurité à la sauce Uefi ne peuvent rien. Tous ? Non ! Car un village peuplé d’irréductibles constructeurs résiste encore et toujours à l’envahisseur. Appleix, Microsoftix, Samsungum, Acera, Asusis, Fujitsix, Panasonix, NECplusultrass, Vaiorum, MSIX et Gigabus.
Il n’en fallait pas plus à Kovah pour concevoir un PoC spécifiquement destiné à attaquer la plateforme Apple. Pis encore, le chercheur a même forcé son talent jusqu’à imaginer un vecteur d’attaque pouvant se propager en infectant tout périphérique possédant également son propre Bios et, tant qu’à faire, profiter de la Black Hat Conference pour révéler toute l’histoire. Nouvelle plateforme, nouveau nom de baptême, puisque la preuve conceptuelle s’appelle désormais Thunderstrike2. Un nom lié au fait que son efficacité est foudroyante, et surtout que parmi les périphériques pouvant servir de vecteur de propagation se trouve l’adaptateur ethernet Thunderbolt. « Tout ce qui supporte une « option ROM » est susceptible d’être infecté » explique Kovah. « Et l’infection reste absolument indétectable. Peut-on imaginer un utilisateur, même le plus paranoïaque, tenter d’analyser les firmwares de tous ses équipements ? De la carte Ethernet au disque SSD, en passant par l’adaptateur RAID. Quand bien même aurait-il des outils génériques pour le faire, ce qui n’est absolument pas le cas à l’heure actuelle ».
Ce genre de « virus de science-fiction » est pourtant bien plus courant qu’il n’y paraît. Les « fichiers Snowden » ont clairement prouvé que la NSA dispose depuis longtemps d’un arsenal de bootkits Bios… et la NSA n’est pas le seul service de renseignement au monde. Même la tristement célèbre équipe Italienne Hacking Team utilisait un bootkit exploitant les Bios UEFI. Et à l’heure actuelle, il n’existe toujours pas d’antimalware capable de vérifier l’intégrité d’un firmware.
Les journalistes de Netzpolitik accusés publiquement de « Haute trahison », le mot n’a pas été utilisé depuis les années 50. Une violence qui va jusqu’à faire débarquer le Procureur Fédéral Harald Range nous apprend le quotidien Libération. Range était chargé d’une enquête visant les deux journalistes de Netzpolitik, auteurs d’un article sur le cyber-flicage quasi sans limite qu’exerçait le BfV, le service de renseignements intérieur Fédéral, sur les citoyens Allemands. « Cette mise en examen nous vise, mais vise également nos sources d’information et la liberté de la presse en général » explique la rédaction du journal.
A peine l’article publié que le Ministre de la Justice (pressé par le patron du BfV) ouvrait une enquête pour haute trahison visant les deux signataires de l’article. Le Procureur, souhaitant que ladite enquête se déroule dans un climat plus serein, suspend l’instruction et demande un rapport d’expertise. La réponse du Gouvernement ne s’est donc pas fait attendre avec l’éjection immédiate du Procureur. L’indépendance de la presse et de la justice malmenées dans une même affaire liée à la surveillance d’Internet, voilà qui fait beaucoup pour une démocratie d’Europe.