MoonBounce, la nouvelle menace qui s’attaque au boot UEFI

Les chercheurs de Kaspersky Labs ont identifié une troisième famille de bootkits, ces menaces ultras discrètes et persistantes qui se logent dans le firmware de démarrage des ordinateurs pour mieux rester indétectées

Une menace ultra-discrète

Le firmware UEFI gère toute la phase préliminaire de démarrage d’un ordinateur, il est donc devenu une cible privilégiée des cyberattaquants. Un code malveillant infiltré dans le firmware UEFI, il peut rester caché et indétecté par les protections du système pendant de longs mois ou années. De plus il est souvent complexe à supprimer. Un reformatage même de bas niveau des disques ne suffit pas à l’éradiquer contrairement à la plupart des autres menaces.

Il existe une parade

Face à de telles menaces, il n’existe qu’une seule vraie parade : utiliser un PC avec une fonction Secure Boot activée par défaut. Cette fonction active notamment des défenses comme BootGuard qui s’assurent justement que le firmware UEFI n’a pas été modifié.