Ouvrir le menu principal

MacGeneration

Recherche

BlackLotus, la faille « magique » impossible à patcher qui attaque l'UEFI et Windows

Pierre Dandumont

jeudi 09 mars 2023 à 18:45 • 82

Ailleurs

Depuis octobre 2022, un malware circule chez les malandrins qui veulent hacker votre PC. Et BlackLotus — son petit nom — a une particularité : il repose sur une faille qui ne peut pas être raisonnablement corrigée, et c'est un réel problème.

Un problème d'UEFI

BlackLotus est ce qu'on appelle un bootkit, c'est-à-dire un logiciel malveillant qui va s'exécuter au lancement de l'ordinateur, avant le démarrage de l'OS. Il s'attaque d'abord à l'UEFI, le logiciel qui permet le démarrage dans certains ordinateurs. L'UEFI gère les fonctions de base de tous les PC modernes, ainsi que des Mac Intel mais pas — par exemple — celui des Mac Apple Silicon (qui reposent sur iBoot).

Les différentes étapes de la détection de BlackLotus selon Eset.

Contrairement à d'autres, BlackLotus ne s'insère pas directement dans l'UEFI sur la carte mère, mais sur le périphérique de démarrage, dans la partition EFI. Cette dernière contient notamment le code (bootloader) qui va permettre de lancer l'OS. C'est cette particularité qui le rend dangereux : la faille qu'il emploie pour s'installer ne peut pas réellement être corrigée.

La version simplifiée de ce que fait BlackLotus. Imaginez la version compliquée.

BlackLotus passe par une faille connue, la CVE-2022-21894, et elle a été corrigée par Microsoft en janvier 2022. Mais elle est pourtant encore parfaitement utilisable en 2023. Ce n'est pas une erreur de notre part, et le souci vient de son fonctionnement : elle implique des composants liés à l'UEFI qui ne peuvent pas être interdits. Pour tenter de faire simple, les morceaux de code vulnérables sont connus et devraient en théorie se trouver dans une liste noire, pour interdire leur exécution. Le problème, c'est qu'ils sont utilisés par des millions de PC dans le monde et le blocage n'est donc pas réellement une option et ne risque pas de l'être avant un long moment. En pratique, les PC modernes sous Windows 11 sont vulnérables et il n'y a pas de solutions pour éviter ça.

Comment se débarrasser de BlackLotus ?

BlackLotus peut être vu comme particulièrement teigneux : une fois en place, il va se lancer avant le démarrage de l'OS, s'arranger pour être vu comme un logiciel parfaitement acceptable en ajoutant ses propres clés dans le gestionnaire de Secure Boot (le mécanisme de démarrage sécurisé de Microsoft) et désactiver diverses fonctions de Windows, telles que Windows Defender (l'antivirus maison), BitLocker (qui prend en charge le chiffrement) ou différents mécanismes liés à la virtualisation. Avec ses 80 ko (ce qui est plutôt compact), il va aussi tenter d'être indétectable — ce qui n'est pas totalement le cas de façon évidente — et mettre tout en œuvre pour ne pas être désactivé.

Dans la pratique, la solution présentée par Eset — en dehors du fait de ne pas se faire infecter — consiste à réinstaller totalement l'OS et à désactiver les clés ajoutées par BlackLotus… ce qui n'empêche pas réellement une nouvelle infection et nécessite de bonnes connaissances. Si vous êtes intéressés par le fonctionnement en détail du bootkit, l'article d'Eset est très complet mais un peu indigeste si vous ne maîtrisez pas bien les arcanes de Windows.

Et les Mac ?

BlackLotus ne cible pas macOS et ne peut évidemment pas infecter les Mac Apple Silicon, qui ne reposent pas sur l'UEFI. Pour les Mac Intel, ceux qui exécutent Boot Camp sont vulnérables étant donné que la faille repose sur l'UEFI et le démarrage de Windows. Et comme sur les PC, il n'y a pas de solution magique.

Notons enfin que les créateurs de BlackLotus vendent le logiciel pour 5 000 $ et que les mises à jour sont facturées 200 $. Et si vous vous demandez ce que ce bootkit peut faire, la réponse est assez vague : ça dépend. BlackLotus peut télécharger des données en fonction des besoins, donc peut installer d'autres logiciels malveillants.

Soutenez MacGeneration sur Tipeee

MacGeneration a besoin de vous

Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire

Soutenez MacGeneration sur Tipeee

Promo Apple : jusqu’à 23 € de réduction sur les chargeurs, 10 € sur les étuis

14:37

• 1


Aperçu de l'Apple Watch Series 11 : était-elle vraiment nécessaire ?

14:13

• 14


Exposé, gestion des fenêtres : les nouveaux gestes à connaître sur iPadOS 26

14:13

• 18


Massive Attack supprime ses titres du streaming en Israël, et annule tous ses contrats avec Spotify

13:02

• 118


Sortie de veille : lancement réussi pour iOS 26 et les iPhone 17 ?

08:00

• 13


L’iPhone 17 Pro et l’iPhone Air semblent vraiment beaucoup plus fragiles aux rayures que prévu

19/09/2025 à 21:15

• 143


Aperçu de l’Apple Watch Ultra 3, une montre pas tellement plus Ultra qu’avant

19/09/2025 à 20:34

• 31


MacBook Air à 599 $ : A18 Pro ou A19 Pro sous le capot ?

19/09/2025 à 17:24

• 41


Jony Ive et OpenAI débaucheraient sans trop de difficultés des spécialistes chez Apple

19/09/2025 à 16:40

• 36


Prise en main : l’iPhone 17 Pro orange est en effet très orange

19/09/2025 à 15:06

• 100


Un 14 juillet avec le Président de la République : quand le Vision Pro s’invite aux Journées européennes du patrimoine

19/09/2025 à 10:32

• 26


Bonne surprise : les AirPods Pro 3 sont (encore) en stock

19/09/2025 à 10:31

• 8


Remind Me Faster 6 devient une véritable app pour tous les Mac

19/09/2025 à 09:24

• 9


Des iPhone 17 Pro et Pro Max en stock

19/09/2025 à 08:29

• 87


Pub Apple : l'iPhone 17 Pro aime le vent, la boue et globalement s'en prendre plein la figure

19/09/2025 à 08:04

• 18


iPhone Air, iPhone 17, Pro et Pro Max : les surprises des derniers tests d’autonomie

19/09/2025 à 08:03

• 39