Ouvrir le menu principal

MacGeneration

Recherche

BlackLotus, la faille « magique » impossible à patcher qui attaque l'UEFI et Windows

Pierre Dandumont

jeudi 09 mars 2023 à 18:45 • 82

Ailleurs

Depuis octobre 2022, un malware circule chez les malandrins qui veulent hacker votre PC. Et BlackLotus — son petit nom — a une particularité : il repose sur une faille qui ne peut pas être raisonnablement corrigée, et c'est un réel problème.

Un problème d'UEFI

BlackLotus est ce qu'on appelle un bootkit, c'est-à-dire un logiciel malveillant qui va s'exécuter au lancement de l'ordinateur, avant le démarrage de l'OS. Il s'attaque d'abord à l'UEFI, le logiciel qui permet le démarrage dans certains ordinateurs. L'UEFI gère les fonctions de base de tous les PC modernes, ainsi que des Mac Intel mais pas — par exemple — celui des Mac Apple Silicon (qui reposent sur iBoot).

Les différentes étapes de la détection de BlackLotus selon Eset.

Contrairement à d'autres, BlackLotus ne s'insère pas directement dans l'UEFI sur la carte mère, mais sur le périphérique de démarrage, dans la partition EFI. Cette dernière contient notamment le code (bootloader) qui va permettre de lancer l'OS. C'est cette particularité qui le rend dangereux : la faille qu'il emploie pour s'installer ne peut pas réellement être corrigée.

La version simplifiée de ce que fait BlackLotus. Imaginez la version compliquée.

BlackLotus passe par une faille connue, la CVE-2022-21894, et elle a été corrigée par Microsoft en janvier 2022. Mais elle est pourtant encore parfaitement utilisable en 2023. Ce n'est pas une erreur de notre part, et le souci vient de son fonctionnement : elle implique des composants liés à l'UEFI qui ne peuvent pas être interdits. Pour tenter de faire simple, les morceaux de code vulnérables sont connus et devraient en théorie se trouver dans une liste noire, pour interdire leur exécution. Le problème, c'est qu'ils sont utilisés par des millions de PC dans le monde et le blocage n'est donc pas réellement une option et ne risque pas de l'être avant un long moment. En pratique, les PC modernes sous Windows 11 sont vulnérables et il n'y a pas de solutions pour éviter ça.

Comment se débarrasser de BlackLotus ?

BlackLotus peut être vu comme particulièrement teigneux : une fois en place, il va se lancer avant le démarrage de l'OS, s'arranger pour être vu comme un logiciel parfaitement acceptable en ajoutant ses propres clés dans le gestionnaire de Secure Boot (le mécanisme de démarrage sécurisé de Microsoft) et désactiver diverses fonctions de Windows, telles que Windows Defender (l'antivirus maison), BitLocker (qui prend en charge le chiffrement) ou différents mécanismes liés à la virtualisation. Avec ses 80 ko (ce qui est plutôt compact), il va aussi tenter d'être indétectable — ce qui n'est pas totalement le cas de façon évidente — et mettre tout en œuvre pour ne pas être désactivé.

Dans la pratique, la solution présentée par Eset — en dehors du fait de ne pas se faire infecter — consiste à réinstaller totalement l'OS et à désactiver les clés ajoutées par BlackLotus… ce qui n'empêche pas réellement une nouvelle infection et nécessite de bonnes connaissances. Si vous êtes intéressés par le fonctionnement en détail du bootkit, l'article d'Eset est très complet mais un peu indigeste si vous ne maîtrisez pas bien les arcanes de Windows.

Et les Mac ?

BlackLotus ne cible pas macOS et ne peut évidemment pas infecter les Mac Apple Silicon, qui ne reposent pas sur l'UEFI. Pour les Mac Intel, ceux qui exécutent Boot Camp sont vulnérables étant donné que la faille repose sur l'UEFI et le démarrage de Windows. Et comme sur les PC, il n'y a pas de solution magique.

Notons enfin que les créateurs de BlackLotus vendent le logiciel pour 5 000 $ et que les mises à jour sont facturées 200 $. Et si vous vous demandez ce que ce bootkit peut faire, la réponse est assez vague : ça dépend. BlackLotus peut télécharger des données en fonction des besoins, donc peut installer d'autres logiciels malveillants.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un site web pour décoder les pages sauvées en .webarchive par Safari

11:00

• 0


Ulanzi présente une station d'accueil au look de petit Mac Pro

10:15

• 7


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

09:18

• 9


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

08:33

• 2


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

07:52

• 24


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 33


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 8


Test du ViewSonic ColorPro VP2788-5K : 27″, 5K et DCI-P3 pour le prix d’un demi-Studio Display

03/07/2025 à 20:30

• 8


Guerre commerciale : les produits fabriqués au Vietnam voient leur taxe multipliée par cinq

03/07/2025 à 20:20

• 20


Microsoft Office 2021 pour Mac à 49,99 € : une aubaine à ne pas rater pendant les soldes d’été 📍

03/07/2025 à 20:07

• 0


L’iPhone 17 Pro Max pourrait avoir une grosse batterie de 5 000 mAh

03/07/2025 à 19:50

• 36


Une extension Chrome et Firefox désactive le doublage par IA de YouTube

03/07/2025 à 17:14

• 22


Le générateur de vidéos Veo 3 est désormais disponible en France dans l’application Gemini

03/07/2025 à 16:00

• 1


Starlink pourrait amener un Wi-Fi plus rapide et plus fiable dans les TGV

03/07/2025 à 15:39

• 46


Les identifiants d’une quinzaine de futurs Mac en fuite

03/07/2025 à 15:15

• 21


L'utilitaire pour faire tourner des LLM en local Ollama devient une application native

03/07/2025 à 14:27

• 29