Sur le blog de Securelist, une analyse intéressante montre que certains BIOS contiennent des données qui pourraient potentiellement être utilisées à des fins malveillantes. Les chercheurs se sont attaqués à un système de protection « antivol », celui de Computrace, qui est parfois intégré dans les BIOS (ou les firmwares) des ordinateurs.
Computrace est une solution de la société Absolute Software, et qui est destinée à faciliter la vie des services informatiques : elle permet de bloquer un ordinateur, le localiser, l’effacer, etc. Le programme est installé dans les BIOS (et les UEFI) de beaucoup de constructeurs et les chercheurs indiquent que tous les BIOS ne permettent pas de désactiver la fonction. Étant donné que c’est le constructeur qui installe le programme, ils indiquent aussi que — généralement — une mise à jour du BIOS/UEFI va mettre à jour le programme, pas le supprimer.
Dans un BIOS
Le programme se charge sur les partitions en FAT(32) et en NTFS, avant le lancement du système d’exploitation, et remplace certains fichiers de Windows par son propre code, avant de se répliquer et de remettre le code original en place. Ce fonctionnement particulier est proche de celui des malware, ce qui a incité les chercheurs à analyser son fonctionnement. Une fois le système lancé, le programme contacte aussi les serveurs de la société, pour effectuer des mises à jour, et — c’est son but — dans certains cas remonter des informations sur la machine.
Ils ont découvert que le module se lançait sur plusieurs machines, alors qu’il est normalement lié à une activation manuelle dans le BIOS. Ils ont trouvé au moins trois machines (Asus et Samsung) où le programme était activé par l’installation initiale. Selon les statistiques de Kaspersky, il est très utilisé (et activé) aux États-Unis et en Russie, et spécialement sur les modèles de quatre marques : Acer, Dell, Toshiba et Asus.
Activation |
Au final, les chercheurs indiquent que s’il n’y a pas — à leur connaissance — d’usage malveillant du code de Computrace, le programme — dans son fonctionnement,— s’apparente à un malware (il a d’ailleurs déjà été détecté en tant que tel par certains antivirus) et devrait donc être surveillé. Ils s’interrogent aussi sur le grand nombre de machines où le programme est installé, a priori sans raison, par les constructeurs et aimeraient que ces derniers permettent de désactiver facilement le programme, ce qui n’est pas le cas actuellement.