Une solide stratégie de cybersécurité ne doit pas seulement inclure des approches réactives face aux cyberattaques, mais aussi des mesures préventives proactives vis-à-vis d'infections telles que les bootkits. Réduire l'impact d'une infection par un bootkit et éradiquer cette infection comporte des atouts précieux pour votre équipe en charge de la cybersécurité. Les bootkits agissent en toute discrétion, et acquérir une meilleure compréhension de leur fonctionnement et des moyens de les contrer peut contribuer à protéger votre entreprise contre les cybercriminels.
Qu'est-ce qu'un bootkit ?
Les bootkits sont un type de logiciel malveillant moderne utilisé par les cybercriminels pour introduire un logiciel malveillant dans un système informatique. Les bootkits peuvent constituer une cybermenace pour la sécurité de votre entreprise et font souvent appel à des outils de rootkit pour échapper à la détection. Ces attaques visent l'interface UEFI (Unified Extensible Firmware Interface), un logiciel qui relie le système d'exploitation d'un PC au micrologiciel de son appareil.
Un exemple d'infection par rootkit est le rootkit de détournement de navigateur Spicy Hot Pot datant de 2020. Il permet de faire passer la page d'accueil d'un utilisateur sous le contrôle du cybercriminel.
Quelle est la différence entre un bootkit et un rootkit ?
Un rootkit est un ensemble d'outils logiciels ou un programme conçu pour permettre à un cybercriminel de prendre le contrôle à distance d'un système informatique. Les rootkits sont conçus pour fonctionner sans être détectés en désactivant les logiciels antivirus et antimalware sur les endpoints. Il est ainsi possible d'introduire des logiciels malveillants dans le système dans le but d'attaquer la sécurité du réseau ou des applications.
Les bootkits vont plus loin et sont conçus pour infecter le VBR (Volume Boot Record) ou le MBR (Master Boot Record). Ce faisant, un bootkit peut agir avant le chargement du système d'exploitation de l'ordinateur. Le code malveillant installé par le bootkit est ainsi opérationnel avant le démarrage du système d'exploitation de l'ordinateur.
Les infections par bootkit ne sont pas détectées, car tous les composants se trouvent en dehors du système de fichiers Microsoft Windows, ce qui les rend invisibles pour les processus standard du système d'exploitation. Parmi les signes indiquant qu'un ordinateur peut être infecté par un bootkit, citons l'instabilité du système, qui se traduit par des écrans bleus, et l'impossibilité de lancer le système d'exploitation.
Risques et impacts des rootkits
Un bootkit UEFI peut constituer un problème sérieux pour votre entreprise, d'autant plus qu'un bootkit bien conçu peut passer pratiquement inaperçu. Tout comme les bootkits, les rootkits constituent une cybermenace pour la sécurité et ouvrent la voie à l'installation de logiciels malveillants supplémentaires. L'installation d'un rootkit non détecté peut entraîner la suppression de fichiers et le vol d'informations.
Pourquoi les bootkits constituent-ils une menace pour la cybersécurité ?
Un bootkit UEFI est particulièrement dangereux, car il est difficile de s'en débarrasser. Le microprogramme UEFI est intégré dans la carte mère au lieu d'être écrit sur le disque dur. Il est donc immunisé contre toute manipulation du disque dur. Ces attaques par un bootkit sont généralement difficiles à détecter et peuvent être lancées en même temps que des téléchargements gratuits ou par l'intermédiaire de sites web malveillants exploitant les vulnérabilités des navigateurs.
La présence d'un rootkit malveillant dans votre système peut avoir les conséquences suivantes :
- Suppression de fichiers : le code du système d'exploitation et d'autres fichiers sont vulnérables aux rootkits.
- Accès à distance : modification des paramètres de configuration, ouverture de portes dérobées dans les paramètres du pare-feu et modification des scripts de démarrage. Tous ces éléments permettent aux cyberattaquants d'accéder à distance à l'ordinateur pour mener d'autres attaques.
- Vol d'informations : les logiciels malveillants installés par les rootkits peuvent voler des mots de passe, des informations personnelles et des données sensibles sans être détectés.
- Logiciels malveillants supplémentaires : avec un rootkit installé, un cybercriminel peut installer des logiciels malveillants supplémentaires et peut même agir comme un ransomware, en exigeant un paiement pour restaurer votre ordinateur.
Les infections engendrées par des bootkits ont également d'autres implications, comme une surveillance continue et discrète des activités des entreprises. Les bootkits liés aux micrologiciels UEFI peuvent échapper aux mesures de sécurité habituelles et, étant donné qu'ils entrent en action avant le démarrage du système d'exploitation, ceux-ci restent actifs pendant toute la durée de fonctionnement du système. La meilleure mesure de sécurité consiste à empêcher les infections par bootkit de se produire.
Prévention des infections par bootkit
La recherche d'activités suspectes à l'aide d'un logiciel ou d'un outil de recherche de rootkits peut s'avérer efficace pour découvrir des rootkits dans les applications, mais ceux-ci ne peuvent pas détecter les bootkits, un rootkit en mode noyau ou les attaques par micrologiciel. L'utilisation de plusieurs niveaux d'analyse peut jouer un rôle préventif, à condition que vous ayez une bonne compréhension des capacités et des limites de votre logiciel. Cependant, la meilleure solution pour prévenir les attaques par bootkit est le démarrage sécurisé.
Protection et atténuation des risques
Le démarrage sécurisé de l'UEFI est une mesure de sécurité qui garantit qu'un appareil démarre en utilisant uniquement des logiciels de confiance. Le micrologiciel vérifie la signature de chaque logiciel de démarrage, y compris le micrologiciel UEFI, et si toutes les signatures sont valides, l'ordinateur démarre. Ce démarrage sécurisé peut empêcher une infection par un bootkit de causer des dommages, car s'il est détecté, l'ordinateur ne démarrera pas.
Vous pouvez également prendre des mesures préventives pour limiter les risques d'une attaque par bootkit. Il peut s'agir, par exemple, d'éviter des activités telles que le démarrage du système d'exploitation à partir d'un support non fiable. Vous pouvez également vérifier les informations relatives à la compromission des fournisseurs lors de la mise à jour du micrologiciel et de la version du système d'exploitation afin d'éviter les attaques de la supply chain. La surveillance des activités potentiellement malveillantes est un bon moyen de déterminer si vous êtes vulnérable à une infection par un bootkit. Si une attaque par bootkit a déjà eu lieu, la première mesure à prendre est de la supprimer.
Suppression d'un bootkit
Vous pouvez supprimer un bootkit en utilisant un logiciel spécialisé dans la suppression des logiciels malveillants. Les rootkits, quant à eux, peuvent être plus faciles à éliminer après un simple nettoyage votre disque dur. Il est donc essentiel de trouver l'outil adéquat pour pouvoir supprimer un bootkit de votre système.
Comment se débarrasser des bootkits ?
Vous aurez besoin d'un disque de réparation de démarrage pour pouvoir nettoyer votre enregistrement de démarrage principal. Utilisez cet outil pour supprimer l'enregistrement de démarrage principal au lieu de le réparer. Vous pourrez ainsi vous assurer que le bootkit a bien été supprimé. Une fois l'effacement effectué, vous pourrez créer un nouvel enregistrement de démarrage principal en reformatant les nouvelles partitions du disque.
Il est possible de supprimer les bootkits des disques durs internes et des clés USB, ainsi qu'à l'aide d'un programmateur flash SPI. Ces dispositifs de programmation peuvent effacer, programmer et vérifier les opérations des puces de stockage. Si vous ne disposez pas d'un outil spécialisé, il vous sera probablement difficile de détecter et de vous débarrasser d'une infection par un rootkit, car elles peuvent passer inaperçues.
Protégez-vous contre les logiciels malveillants
Protéger votre entreprise contre les attaques de bootkit est important afin d'empêcher les cybercriminels d'obtenir secrètement à distance un accès à vos systèmes. Les bootkits présentent un véritable danger, car ils sont difficiles à détecter et à supprimer, et parce qu'ils facilitent les futures attaques de logiciels malveillants. Vous devez donc prendre des mesures préventives et supprimer les bootkits pour bien protéger votre entreprise.
Grâce à la solution CrowdStrike Falcon® Complete, vous pouvez protéger les endpoints, les workloads et les identités en utilisant une combinaison de compétences en gestion, de Threat Hunting, de surveillance attentive et d'actions correctives ciblées. En préparant correctement votre système et en lui fournissant toutes les informations nécessaires sur les menaces, y compris celles lancées par des logiciels malveillants cachés, vous pourrez protéger votre entreprise contre les bootkits et autres formes d'intrusions.