Mot de passe sur le Bios

[NEOPHYTE]

Bonjour,

Une petite question pour Toto61 (que je ne sais comment joindre) s'il la trouve, sinon, qq d'autre peut peut-être y répondre:
Sait on si mettre un mot de passe sur le bios le protège des malwares pouvant affecter le Firmware ?

[Toto61]

Salut,

Il y a 15 heures, NEOPHYTE a dit :

Sait on si mettre un mot de passe sur le bios le protège des malwares pouvant affecter le Firmware ?

Tu peux disposer en fonction de la carte mère et de ses fonctionnalité de 2 types de mots de passe au niveau du Bios/UEFI

• un mot de passe d'accès au Bios/UEFI pour sa configuration
• un mot de boot, qui permet d'autoriser ou non le démarrage du PC.

Le but de ces mot de passe est donc de restreindre l'accès physique à ta machine. Les malwares eux utilisent des accès via des failles de sécurités du BIOS/UEFI, avec pour but de bypasser ce firmware en s'installant dans une zone le remplaçant partiellement ou totalement, ce qui rend ce type d'accès plus pernicieux.

Si nos experts en sécurité @Christian-S ou @Longaripa veulent intervenir, qu'ils soient les bienvenus.

[NEOPHYTE]

Bonsoir,

Merci  pour ta réponse....toujours aussi bluffante par sa clarté.

Je posais cette question étant tombé sur ce lien:

https://www.01net.com/actualites/virustotal-cherche-les-malwares-dans-les-bios-947416.html

Après lecture j'ai lancé virustotal sur mon PC, obtenu via le lien de l'article présent dans la phrase "Pour lutter contre ce fléau, le site de détection de malware VirusTotal propose désormais un service d’analyse des BIOS.", lien que voici:

ttps://www.virustotal.com/gui/file/57a0c38bf7cf516ee0e870311828dba5069dc6f1b6ad13d1fdff268ed674f823/detection

Comme tu pourras le voir, l'article stipule :

« Une rubrique particulièrement intéressante est celle des « exécutables Windows ». En théorie, un BIOS ne devrait pas en avoir. S’il y en a, deux solutions : soit le fournisseur s’appuie sur le BIOS pour injecter des applications faites maison dans Windows, soit c’est un malware. »

Le résultat de Virustotal est sur mon PC, 0/57 ce qui est parfait, mais dans l'onglet "détails", au chapitre "Warnings", la mention suivante: "Contains a fully-fledged Windows executable, could be an indication of malware implanting." ce qui est inquiétant.

 

Le même article dit « Virustotal va comparer le code exécutable du firmware aux codes diffusés par les fournisseurs, ce qui permet de détecter son origine. S’il n’y a aucune différence entre les deux codes, c’est évidemment un bon signe. »

Là dessus je ne vois pas d'info en sous-produit de cette éventuelle comparaison, donc j’ai des doutes sur le fait qu’il la fasse.

Pour acquérir une certitude de sécurité, il faudrait peut-être écraser le BIOS existant

- soit par celui déjà en vigueur sur la carte mère, mais cela suppose d'enlever la pile bouton puis de la remettre, ce qui est très difficile sur un portable

- soit par le dernier paru (Flashage du BIOS) , ce qui est un peu dangereux car en cas de plantage on serait ramené au cas précédent: réinitialiser avec la pile bouton. Et  de + je ne trouve rien comme BIOS sur le net  sur la base de Acer MJE50_HR (CPU1) (Références issues de Speccy)

Par ailleurs en cas de faille comme tu dis le remède pourrait n'être que provisoire.

Je crains que @Christian-S comme  @Longaripa que tu sollicites soient trop occupés pour répondre car aucun ne donne signe de vie.

Cordialement.

[Toto61]

Salut,

J'ai surtout l'impression que VT a surfé sur la polémique des logiciels de type Computrace qui ont été révélé au grand-public en 2014. L'idée est d'avoir un microprogramme en amont du BIOS, capable de surveiller la présence d'un agent de traçage au sein de Windows (localisation / désactivation du PC en cas de vol), et s'il détecte que l'agent n'est pas présent, le microprogramme injecte du code dans l'OS pour provoquer le téléchargement et l'installation de cet agent. Cela résiste donc à une réinstallation de l'OS, mais au cas où cette fonctionnalité serait détournée par un malware, on comprend vite les risques potentiels.

Lorsque tu vois qu'aujourd'hui au travers des mises à jours Windows Update, tu peux lancer la mise à jour d'un BIOS sans autre intervention, tu peux aussi t'inquiéter des éventuelles conséquences de ces pratiques : quid en cas d'usurpation du système de mise à niveau, ou d'un simple échec pour cause de mise à jour lancée avec une batterie quasi déchargée ?

[Yves B.]

Salut @Toto61,

J'ai lu ta réponse, et ton article avec intérêt 👍🏼👍🏼👍🏼, et le plus ironique dans tout ça, c'est que Kaspersky dénonce ce logiciel, alors que j'ai utilisé leurs protection complète pendant de nombreuse années, et qu'ils n'ont jamais détecté la présence de ce logiciel sur mes ordinateurs. Tandis qu'à la première analyse complète effectué avec ESET... ce logiciel est détecté sur le Toshiba, et il n'y a aucun moyen pour le supprimer 😡!!! Il n'y a aucun réglage dans le BIOS 😡!

Puisqu'il ne peut être désinstallé, la seule solution que j'ai trouvé, c'est un fichier .bat qui tue les tâches.

Le Dell est “clean”

A+

 

[Toto61]

Salut @Yves B.,

Il y a 17 heures, Yves B. a dit :

Kaspersky dénonce ce logiciel, alors que j'ai utilisé leurs protection complète pendant de nombreuse années, et qu'ils n'ont jamais détecté la présence de ce logiciel sur mes ordinateurs. Tandis qu'à la première analyse complète effectué avec ESET... ce logiciel est détecté sur le Toshiba

Je suis utilisateurs "avancés" des solutions d'ESET depuis plus de 15 ans maintenant, alors que cet éditeur était encore assez méconnu dans nos contrées. Je n'ai jamais été déçu de ce produit, malgré 1 mauvaise mise à jour durant cette période qui a été problématique pour leur image, je ne le cache pas, mais sans conséquence dans mon cas. DELL et Acer, à + de 90% en gamme pro, représentent la majeur partie des machines sur lesquelles je suis amené à intervenir. Jamais ce logiciel n'avait pourtant été détecté par ESET sur ces machines au préalable. Les éditeurs connaissaient pourtant ce logiciel, et l'autorisaient en liste blanche (mais non accessible), donc disposaient de "signatures". Nous oublions un peu vite de blâmer aussi tous les spécialistes de la sécurité réseaux comme NetASQ, Aruba, Cisco, HP, Netgear..., disposant tous d'un système d'inspection de paquets et qui n'ont jamais bronché. Sans parler bien sur de l'ensemble des équipementiers.

[Yves B.]

Salut @Toto61,

Il y a 4 heures, Toto61 a dit :

Les éditeurs connaissaient pourtant ce logiciel, et l'autorisaient en liste blanche (mais non accessible), donc disposaient de "signatures".

C'est exactement ce que j'ai trouvé en fouillant beaucoup hier, d'ailleurs, ce logiciel se comporte comme un “malware”, raison pour laquelle, il avait attiré l'attention de Kaspersky.

Citation depuis le website de Computrace :

Citation

Our Agent is one of the stealthiest and most tamper-resistant clients on the market. It is incredibly persistent and allows you to maintain a connection with your computer. If our Persistence Module was embedded in the BIOS firmware of your computer during assembly, our Agent can survive operating system re-installations, hard drive reformats and even hard drive replacements.

Français :

Notre agent est l'un des clients les plus furtifs et les plus inviolables du marché. Il est incroyablement persistant et vous permet de maintenir une connexion avec votre ordinateur. Si notre module de persistance a été intégré au microprogramme BIOS de votre ordinateur lors de l'assemblage, notre agent peut survivre aux réinstallations de systèmes d'exploitation, aux reformatages de disques durs et même aux remplacements de disques durs.

Je peux confirmer qu'il survit (reliquats du logiciel présent dans le BIOS), très bien à tous ces changements !

Maintenant, ici, je peux leurs téléphoner pour en demander la désinstallation, mais puisque je n'ai trouvé aucune trace (Registre, système de fichiers et processus), ça impliquerait de le réinstaller, donc, à mes yeux c'est un non-sens 🤔!?!

Par contre, selon l'analyse de ESET, c'est à cet endroit que se trouverait une partie du logiciel :

\\Uefi Partition = UEFI = uefi:\\Volume 1\DXE Core {4Axxxxxx-5xxx-4xxx-Bxxx-4xxxxxxxxxxx}\Unnamed partition\Volume 1\ComputraceApp - une variante de EFI/CompuTrace.A application potentiellement dangereuse

Va falloir faire avec 🤷🏽‍♂️!

Parmi les équipementiers, Toshiba est bon premier, suivit de Dell et Lenovo, pour ce qui concerne son installation en usine ! (au moment de l'article consulté)

Espérons que les choses aient changé depuis ???

A+

 

Modifié le 6 août 2022 par Yves B.

[NEOPHYTE]

Bonjour,

Votre échange est très instructif.

Pour que je tente de comprendre complètement, l'un au moins d'entre vous pourrait-il m'éclairer sur quelques points ? :

Toto61, je suppose que lorsque tu dis « un microprogramme en amont du BIOS » Tu veux dire « En tout début du logiciel du Bios » ?

Par ailleurs, j'ai cru comprendre que l'on peut  réinitialiser le Bios soit en ôtant la pile bouton soit via manip sur un cavalier.

Cela semble supposer qu'il y ait

- un « Bios mère » stocké en dur,

- + un « Bios fille » identique au « Bios mère » en sortie d'usine,

et que seule la fille soit active dans la séquence de démarrage.

Ensuite on peut mettre à jour la fille par flashage, sachant qu'on ne peut jamais modifier ni supprimer la mère puisque stockée en dur, et, en cas de pépin mettant la fille KO durant cette séquence, on peut écraser cette fille par copie de la mère avec une des 2 manips ci-dessus.

Cela fonctionne t'il bien comme cela, ou ai-je tout (ou partie) faux et en ce cas quoi ?

Si cela fonctionne bien comme cela,

- soit la mère est polluée et du coup la fille aussi, et ce dès l'usine, mais cela paraît improbable, non ?

- soit la mère est clean et si on veut être surs que la fille le soit aussi, il suffit de la régénérer par recopie de la mère.

Bien sûr, cela n'empêche pas que la fille puisse être re-vérolée par la suite, sauf a protéger la fille de toute écriture.

Pour cela, comme selon toi Toto61 il n'existe pas de possibilité de verrouiller l'écriture sur le Bios via 1 des 2 passwords que tu cites, il reste à voir s'il n'existerait pas un moyen physique.

Sur le sujet j'ai trouvé cet échange: https://forum.pcastuces.com/bios_protege_en_ecriture-f4s90017.htm

Qu'en pensez-vous ?

Et si par chance c’était la solution, où, selon vous, a-t-on des chances de trouver la doc. de la carte mère, de préférence gratuitement ?

Pour info sur mon Acer aspire 5750G (pas récent donc), speccy me donne pour la carte mère les infos ci-après :

Manufacturer  Acer

Model  JE50_HR (CPU1)

Version           Base Board Version

Chipset Vendor           Intel

Chipset Model Sandy Bridge

Chipset Revision         09

Southbridge Vendor   Intel

Southbridge Model     HM65

Southbridge Revision  B2

[Toto61]

Salut,

Il y a 18 heures, NEOPHYTE a dit :

Cela semble supposer qu'il y ait
- un « Bios mère » stocké en dur,
- + un « Bios fille » identique au « Bios mère » en sortie d'usine,

Il n'y a pas de notion Mère / Fille, mais il y a 

• une partie figée, qui contient l'accès à toutes les fonctionnalités de la carte mère
• une partie modifiable, accessible à l'utilisateur, et qui contient les réglages utilisateurs (ou par défaut) du BIOS 

Les anciens BIOS disposent d'un mode spécifique, accessible depuis un fichier exécutable, qui permet de déverrouiller la zone figée pour la mettre à jour. Pour les BIOS récent (UEFI), la mise à jour peut s'effectuer depuis le BIOS lui même, sans programme additionnel.

D'autre part, certains BIOS UEFI disposent d'un BIOS de secours qui, en cas de défaillance / corruption du BIOS, permet de réinjecter manuellement ou automatiquement une version "propre" du BIOS.

Dans les 2 cas, BIOS ou UEFI, il est possible de réinitialiser les paramètres utilisateurs, soit en débranchant la pile, soit en provoquant un court-circuit sur la zone modifiable à l'aide d'un cavalier (ou d'un bouton). Mais cette procédure ne réinitialise pas la partie figée du BIOS, seulement le paramétrage utilisateur, incluant pour certains, le(s) mot(s) de passe(s).

Il y a 17 heures, NEOPHYTE a dit :

Toto61, je suppose que lorsque tu dis « un microprogramme en amont du BIOS » Tu veux dire « En tout début du logiciel du Bios » ?

Dans le cadre de Computrace, le microprogramme est partie intégrante du BIOS, c'est donc une fonctionnalité de traçage. Par contre, dans le cadre d'un malware, ce dernier utiliserait soit une faille de sécurité dans le BIOS lui même (ou l'un de ses périphériques), soit dans son système de mise à jour pour aller s'installer au tout début de la partie figée (y compris dans la partie Backup de ce BIOS si la carte mère en dispose), au risque de modifier la procédure de mise à jour, empêchant alors toute mise à jour ultérieur de la part de l'utilisateur.

Il y a 18 heures, NEOPHYTE a dit :

il n'existe pas de possibilité de verrouiller l'écriture sur le Bios via 1 des 2 passwords que tu cites, il reste à voir s'il n'existerait pas un moyen physique

Cette méthode de blocage logiciel existe en effet, il permet d'interdire à un utilisateur lambda de lancer cette procédure de mise à jour, tout comme de nombreuses cartes interdisent les mises à jour vers des versions plus anciennes du BIOS. Mais un malware capable d'aller exploiter une faille n'aurait que faire d'un mot de passe d'accès à un BIOS d'une carte mère. Si je fais une petite analogie avec un cambriolage, tu auras beau mettre une porte blindé sur ta maison, ou des détecteurs d'ouvertures / pressions sur tes ouvrants, si un voleur passe par le toit, il lui suffira de lever quelques tuiles pour se faufiler dans les combles, et descendre par la trappe de visite... Les voleurs sont toujours plus inventifs que les concepteurs de sécurité, il en va de même pour les développeurs de malwares. Et plus un BIOS est complexe, plus il sera susceptible de contenir des failles.

Il y a 18 heures, NEOPHYTE a dit :

Pour info sur mon Acer aspire 5750G (pas récent donc), speccy me donne pour la carte mère les infos ci-après :

Speccy ne nous donne pas grand chose. Mieux vaut utiliser CPU-Z de CPUID (choisir la version ZIP en anglais) qui te donnera la version du BIOS de ce PC portable (onglet Mainboard). La dernière version disponible sur le site Acer est la 1.21, de fin 2012, initialement prévue pour Windows 8.1 : https://www.acer.com/ac/fr/FR/content/support-product/3475?b=1, sans changelog disponible.

[NEOPHYTE]

Bonsoir,

 

Merci beaucoup déjà pour ta réponse claire et complète.

 

Tu dis « Un malware risque de modifier la procédure de mise à jour, empêchant alors toute mise à jour ultérieure de la part de l'utilisateur »

Donc si un malware s'est introduit dans le Bios et interdit toute mise à jour, il sera impossible de l'en déloger & cela condamne non seulement le Bios, mais aussi la carte mère et jusqu'au PC, le changement de carte mère étant rédhibitoire... sauf à se résoudre à héberger définitivement ce malware....sublime! J

Ce serait toutefois un + de savoir si le Bios est sain ou pas.

Le contenu du site évoqué + haut dit que « Virustotal compare le code exécutable du firmware aux codes diffusés par les fournisseurs, ce qui permet de détecter son origine. S’il n’y a aucune différence entre les deux codes, c’est évidemment un bon signe. »

Je n'ai rien aperçu de tel en lançant Virustotal sur mon PC comme dit + haut.

Mais je ne suis pas certain de bien en interpréter le résultat; déjà je ne vois pas ou il donne de résultat de cette comparaison; ensuite il donne 2 infos en apparence contradictoires.

J'ai mis le résultat en PJ en encadrant en rouge les 2 infos en question et je serais heureux d'avoir ton avis sur cet aspect si tu acceptes de regarder.

Ensuite tu as complètement raison, le risque zéro n'existe pas & quelque soit la protection elle sera presque toujours contournable.

Toutefois, j'imagine que tu penses comme moi que cette constatation ne doit pas nous mener à ne pas mettre de protection.

Tu dis « Cette méthode de blocage logiciel existe en effet, elle permet d'interdire à un utilisateur lambda de lancer cette procédure de mise à jour, tout comme de nombreuses cartes interdisent les mises à jour vers des versions plus anciennes du BIOS » .

Pourrais-tu m'indiquer stp ou trouver un descriptif de cette méthode de blocage ?

Sais-tu si suite à un flashage qui se passe mal,

    - le mode spécifique accessible depuis un fichier exécutable  que tu évoques, reste accessible => qu'il  suffit en cas de pépin de relancer le flashage pour que tout rentre dans l'ordre

    - ou si ce mode spécifique devient inaccessible, ce qui là aussi condamne Bios, carte mère & PC ?

Tu dis « Speccy ne nous donne pas grand chose. Mieux vaut utiliser CPU-Z de CPUID (choisir la version ZIP en anglais) qui te donnera la version du BIOS de ce PC portable (onglet Mainboard). La dernière version disponible sur le site Acer est la 1.21, de fin 2012, initialement prévue pour Windows 8.1 »

Je viens de regarder, en fait CPU-Z donne sur mon bios les mêmes infos que Speccy ...tant mieux.

 

Le lien que tu donnes ensuite ( https://www.acer.com/ac/fr/FR/content/support-product/3475?b=1) mène visiblement à un logiciel de flashage. Si on le lance cela se passe comment ? :

- Il demande la référence du Bios? En ce cas CPU-Z est précieux ?

- Ou il va la chercher seul ?

En fait je le lancerai peut-être, mais pas avant d'avoir éclairci avec ton aide les aspects précédents.

Cordialement

Virustotal.pdf

[Toto61]

Salut,

Il y a 6 heures, NEOPHYTE a dit :

Donc si un malware s'est introduit dans le Bios et interdit toute mise à jour, il sera impossible de l'en déloger & cela condamne non seulement le Bios, mais aussi la carte mère et jusqu'au PC, le changement de carte mère étant rédhibitoire... sauf à se résoudre à héberger définitivement ce malware....sublime!

Clarifions déjà un premier point : le premier but d'un malware / virus est de se dupliquer, pour ensuite rester le plus longtemps possible dans l'ombre, dans l'attente d'instructions particulières de la part de son concepteur (attaque simultanée, vol de données..). Un malware de type BIOS, de part la complexité de l'infiltration, demanderai un développement extrêmement pointu, complètement à l'opposé de ce qu'un simple script kiddie serait capable de faire. Pour un "simple malware", on a des centaines, ou des milliers de "variantes" qui finissent par voir le jour, car le développeur a révélé ou s'est fait voler son code source. A ce jour, hormis Lojax, il n'a jamais été démontré l'existence d'un autre malware de type BIOS-UEFI, tout du moins qui aurait été utilisé à une très grande échelle.

Il y a 6 heures, NEOPHYTE a dit :

Ce serait toutefois un + de savoir si le Bios est sain ou pas.

Encore faudrait-il que les constructeurs publient le code source de leur BIOS pour que ce dernier puisse être analysé, sinon, la base de comparaison ne vaudra pas grand chose.

Il y a 7 heures, NEOPHYTE a dit :

Le contenu du site évoqué + haut dit que « Virustotal compare le code exécutable du firmware aux codes diffusés par les fournisseurs, ce qui permet de détecter son origine. S’il n’y a aucune différence entre les deux codes, c’est évidemment un bon signe. »

Je n'ai rien aperçu de tel en lançant Virustotal sur mon PC comme dit + haut.
Mais je ne suis pas certain de bien en interpréter le résultat; déjà je ne vois pas ou il donne de résultat de cette comparaison; ensuite il donne 2 infos en apparence contradictoires.
J'ai mis le résultat en PJ en encadrant en rouge les 2 infos en question et je serais heureux d'avoir ton avis sur cet aspect si tu acceptes de regarder.

La pièce jointe semble faire référence à un DELL Latitude E5420, dont le BIOS daterait de 2011 (donc au max A02 sur cette série). Vu qu'il s'agit d'une gamme pro, elle est potentiellement concernée par Computrace. La capture d'écran nous indique que ton BIOS est clean / légitime (dans la limite précédente bien sur), mais qu'il disposerai (?) de la fonctionnalité qui permettrait d'injecter / activer du code, sans que ce dernier soit implémenté. Sans plus de détails, difficile de te dire. Sur cette gamme, le BIOS le plus récent remonte à 2014, donc avant la découverte de Computrace. Donc s'il est réellement affecté, ce BIOS n'a pas été corrigé (comme celui du PC Acer).

Il y a 6 heures, NEOPHYTE a dit :

Ensuite tu as complètement raison, le risque zéro n'existe pas & quelque soit la protection elle sera presque toujours contournable.
Toutefois, j'imagine que tu penses comme moi que cette constatation ne doit pas nous mener à ne pas mettre de protection.

Avec un environnement Windows, dans lequel par défaut le 1er compte utilisateur dispose de l'ensemble des droits d'administration, il est en effet difficile de rester serein sans disposer d'un antivirus. Tout en gardant à l'esprit que le 1er vecteur d'infection se situe entre la chaise et le clavier ;-)

Il y a 6 heures, NEOPHYTE a dit :

Tu dis « Cette méthode de blocage logiciel existe en effet, elle permet d'interdire à un utilisateur lambda de lancer cette procédure de mise à jour, tout comme de nombreuses cartes interdisent les mises à jour vers des versions plus anciennes du BIOS » .

Pourrais-tu m'indiquer stp ou trouver un descriptif de cette méthode de blocage ?

Ces fonctionnalités dépendent de la carte mère. Les Acer sont extrêmement bridés à ce niveau, et sont conçus pour le plus grand nombre. Il faudrait que tu réalises quelques captures d'écran de ton BIOS pour regarder ce qu'il est possible de faire, mais hormis désactiver la fonctionnalité de récupération D2D, je crains qu'il n'y ai pas grand chose allant dans l'interdiction de mise à jour du BIOS (D2D permet d'accéder à une partition cachée qui dispose d'une image système vierge de ton OS, prête à écraser la partition où est installé ton Windows, accessible via une combinaison de touches spécifiques lors du démarrage).

Il y a 6 heures, NEOPHYTE a dit :

Tu dis « Speccy ne nous donne pas grand chose. Mieux vaut utiliser CPU-Z de CPUID (choisir la version ZIP en anglais) qui te donnera la version du BIOS de ce PC portable (onglet Mainboard). La dernière version disponible sur le site Acer est la 1.21, de fin 2012, initialement prévue pour Windows 8.1 »

Je viens de regarder, en fait CPU-Z donne sur mon bios les mêmes infos que Speccy ...tant mieux.

Je suis preneur de la capture d'écran de l'onglet Mainboard de CPU-Z, car dans ce que tu as déposé concernant Speccy, il n'y avait aucune info concernant le BIOS (ou alors, je suis passé complètement à côté).

Il y a 6 heures, NEOPHYTE a dit :

Le lien que tu donnes ensuite ( https://www.acer.com/ac/fr/FR/content/support-product/3475?b=1) mène visiblement à un logiciel de flashage. Si on le lance cela se passe comment ?

Le logiciel de flashage est un "simple" exécutable qui contient le BIOS de ton système. Il ne te demandera que de valider son installation après avoir vérifier si le système était le bon, et si la version actuelle était plus ancienne. Il est conçu pour ne pas intervenir autrement que part OK ou Annuler. A ne pas effectuer si la version actuelle est la même que la plus récente (d'où mon intérêt pour la capture d'écran Mainboard de CPU-Z). En complément, vu la date de ce BIOS (2012), on est bien avant la découverte de Computrace, donc si ce PC avait été concerné par ce logiciel, il n'a pas été corrigé non plus.

[NEOPHYTE]

Bonjour,

Merci pour réponse toujours aussi claire & structurée.

Tu dis « Clarifions déjà un premier point : .../...A ce jour, hormis Lojax, il n'a jamais été démontré l'existence d'un autre malware de type BIOS-UEFI, tout du moins qui aurait été utilisé à une très grande échelle. »

Donc tu estimes que le risque est quasi-nul et que le sujet n'en est pas vraiment un.

Tu dis « Encore faudrait-il que les constructeurs publient le code source de leur BIOS pour que ce dernier puisse être analysé, sinon, la base de comparaison ne vaudra pas grand chose. »

Il est clair que ça limite les possibilités de vérif si l'on veut analyser le contenu, toutefois

- si l'on répute que le source du constructeur est Ok, ce qui est le + probable, si les 2 exe ont le même volume, il doit s’agir du même fichier, sauf à ce que le fabriquant du malware se soit arrangé pour trafiquer la différence de volume. Comme tu dis que c'est forcément un gars pointu, c'est assez possible

- il  reste peut-être le reverse engineering dont j’ai entendu parler sans avoir approfondi.

Tu dis « La pièce jointe semble faire référence à un DELL Latitude E5420, dont le BIOS daterait de 2011 (donc au max A02 sur cette série). »

Je ne sais pas comme toi décrypter la PJ pour y trouver mention de DELL Latitude E5420,

En fait, comme tu sais, c’est un ACER Aspire 5750G ; je joins le rapport du soft cpuz (DESKTOP-J8EFMNP.txt)

Tu dis « Il faudrait que tu réalises quelques captures d'écran de ton BIOS pour regarder ce qu'il est possible de faire »

Je te joins les images de mon bios: MON_BIOS.pdf

Tu dis « mais hormis désactiver la fonctionnalité de récupération D2D, je crains qu'il n'y ait pas grand chose allant dans l'interdiction de mise à jour du BIOS (D2D permet d'accéder à une partition cachée qui dispose d'une image système vierge de ton OS, prête à écraser la partition où est installé ton Windows, accessible via une combinaison de touches spécifiques lors du démarrage) »

J’ai trouvé ce lien qui l’explique en détail : https://ik4.es/fr/que-es-la-recuperacion-d2d-en-la-bios/

 Ceci-dit

-          je ne comprends pas pourquoi interdire la remise en format « sortie usine » apporterait une sécurité

-          et par ailleurs, j’ai (même plusieurs fois) réinstallé W10, en ayant formaté mon DD avant => j’imagine donc que cette partition cachée est modifiée depuis longtemps. Lorsque je lance l’utilitaire W10 « Gestion des disques », je vois en tête du DD (SSD) un espace intitulé « Reservé au système 50 Mo NTFS Sain (Système, actif , partition …je ne vois pas la fin) ; c’est trop petit pour contenir la version 0 de W10, donc je ne crois pas que ce soit ce dont tu parles

Tu dis « Je suis preneur de la capture d'écran de l'onglet Mainboard de CPU-Z, »

Je te la joins : CPUZ_MAINBOARD.JPG

Enfin tu dis : « Il ne te demandera que de valider son installation après avoir vérifier si le système était le bon et si la version actuelle était plus ancienne»

Je verrai si je le fais, mais qui vérifie cela ? : le soft ou moi ?

Cordialement.

DESKTOP-J8EFMNP.txt MON_BIOS.pdf

[Toto61]

Salut,

Il y a 3 heures, NEOPHYTE a dit :

Donc tu estimes que le risque est quasi-nul et que le sujet n'en est pas vraiment un.
[...]
Il est clair que ça limite les possibilités de vérif si l'on veut analyser le contenu, toutefois si l'on répute que le source du constructeur est Ok, ce qui est le + probable, si les 2 exe ont le même volume, il doit s’agir du même fichier, sauf à ce que le fabriquant du malware se soit arrangé pour trafiquer la différence de volume.

Le risque est bien réel, je ne le minimise pas, mais je ne focalise pas dessus non plus. Néanmoins, concernant l'absence de code source, c'est problématique, car on doit se fier à la seule bonne foi des constructeurs : comment leurs faire confiance alors que ces fonctionnalités n'étaient pas documentées ? Alors que la plupart des PC impactés n'auront jamais reçu de mise à jour du BIOS permettant de désactiver ces fonctions, comme nous l'a indiqué par exemple @Yves B. pour son Toshiba, 6 ans après ?

Le 05/08/2022 à 14:42, Yves B. a dit :

ce logiciel est détecté sur le Toshiba, et il n'y a aucun moyen pour le supprimer 😡!!! Il n'y a aucun réglage dans le BIOS 😡!

Difficile de croire dans la bonne foi des constructeurs...

Il y a 3 heures, NEOPHYTE a dit :

Tu dis « La pièce jointe semble faire référence à un DELL Latitude E5420, dont le BIOS daterait de 2011 (donc au max A02 sur cette série). »

Je ne sais pas comme toi décrypter la PJ pour y trouver mention de DELL Latitude E5420,

En fait, comme tu sais, c’est un ACER Aspire 5750G

C'est justement ce qui m'a titillé lorsque je rédigeai ma réponse, car dans ton fichier "Virustotal.pdf", je me suis basé donc à tord sur le nom du Bios E5420 BIOS.BIN, encadré en vert ci dessous, et qui pouvait correspondre à ce que l'on trouve chez Dell sur les Latitude E5420

Vu ta capture d'écran de CPU-Z, ton BIOS (v1.13) n'est donc pas à jour. Tu en trouveras 2 versions sur cette page du support Acer (v1.17 & v1.21), mais sans aucun changelog sur le plus récent (top pour savoir ce qu'il "corrige"). Donc 2 écoles :

• si tu ne notes pas de dysfonctionnement particulier, vu que ton matériel est sorti de garantie depuis bien longtemps, ne touche à rien
• si tu es impacté par le bug de la led du lecteur de carte et/ou que tu te sens l'âme d'un flasheur, tu peux tenter l'aventure.

Il y a 3 heures, NEOPHYTE a dit :

D2D
[...]
Ceci-dit

-          je ne comprends pas pourquoi interdire la remise en format « sortie usine » apporterait une sécurité

-          et par ailleurs, j’ai (même plusieurs fois) réinstallé W10, en ayant formaté mon DD avant => j’imagine donc que cette partition cachée est modifiée depuis longtemps.

L'accès au processus de Recovery s'effectuait en pressant une suite touche au clavier. Donc du code. Ca pourrait être assez sympa de coder un petit programme qui soit capable d'insérer cette séquence de touche, et d'automatiser ensuite le lancement de la procédure de réinstallation en sortie d'usine. Bon OK, pas d'intérêt autre que celui d'em*erder l'utilisateur. La fonctionnalité est là plus pour éviter une "bourde" de l'utilisateur Lambda.

Concernant la partition, elle devait faire une 15aine de Go, donc si tu as touché aux partitions présentes sur ton PC, notamment si tu as réinstallé Win10 en faisant table rase de l'existant, en effet, il n'est pas étonnant de ne plus avoir cette partition spécifique.  

Il y a 4 heures, NEOPHYTE a dit :

[MaJ du BIOS]
Je verrai si je le fais, mais qui vérifie cela ? : le soft ou moi ?

Le soft : il compare la version actuelle de ton BIOS (1.13) et celle qu'il est censé contenir.

A+

[NEOPHYTE]

 Bonjour,

Merci pour toutes ces précisions. 

Mes questions s’amenuisent : 

Tu dis « comment leurs faire confiance alors que ces fonctionnalités n'étaient pas documentées ? Alors que la plupart des PC impactés n'auront jamais reçu de mise à jour du BIOS permettant de désactiver ces fonctions »

Est-ce à dire qu’ils sont dans l’obligation de documenter toutes les fonctions de chaque composant ? 

Tu dis «  si tu es impacté par le bug de la led du lecteur de carte et/ou que tu te sens l'âme d'un flasheur, tu peux tenter l'aventure»

Qu’appelles-tu le bug du lecteur de carte ?

Cordialement

[Toto61]

Salut,

Il y a 3 heures, NEOPHYTE a dit :

Est-ce à dire qu’ils sont dans l’obligation de documenter toutes les fonctions de chaque composant ?

Non, bien sur, ils ne sont pas soumis à ce genre d'obligation. Mais si je faisais l'analogie avec une personne qui avait ma confiance, et qui l'aurait trahi, il me faudrait bien plus qu'un simple "t'inquiètes pas, je ne recommencerai pas", pour qu'elle ose espérer recréer ce lien particulier.

Il y a 3 heures, NEOPHYTE a dit :

Qu’appelles-tu le bug du lecteur de carte ?

Semble t'il que dans certains cas, la led du lecteur de carte reste allumée en permanence dès lors qu'une carte est introduite dans le lecteur (enfin j'ose espérer que c'est après le retrait de la dite carte, sinon, j'aurai tendance à prendre cela pour une fonctionnalité, et non un bug).

[NEOPHYTE]

Bonsoir à toi et merci pour ta réponse.

Tu dis « une personne qui avait ma confiance, et qui l'aurait trahi, il me faudrait bien plus qu'un simple "t'inquiètes pas, je ne recommencerai pas", pour qu'elle ose espérer recréer ce lien particulier. »

Oui je partage, et je rencontre de temps à autre une image qui me plait car elle illustre bien cela : « La confiance c’est comme une allumette, une fois qu’on l’a grillée une fois, çà ne se reproduira pas »

 

Concernant le dernier point, j’avoue que même si c’était un bug je ne prendrais pas le risque de vitrifier mon bios pour le supprimer 

 Sinon avant de clore ce sujet pourrais-tu m’éclairer sur 4 points, mais en fait le 1^er suffirait si ta réponse y était oui :

1. y a-t-il sur ce site un mode d’emploi du site ?
2. sinon,comme tu as vu, quand je réponds à tes propos je les cite en faisant un copier/coller entre guillemets ; tu fais autrement visiblement, un peu comme sous WhatsApp, mais je n’ai pas trouvé la méthode. Pourrais-tu me l’indiquer ?
3. pour te recontacter en cas de besoin, je n’ai sans doute pas non plus trouvé la méthode si elle existe, donc je m’y prends forcément mal et j’ai un peu l’impression que c’est la loterie. Y a-t-il une méthode rationnelle pour contacter un pseudo. Il me semble que l’on a déjà parlé de cela mais je n’en suis plus certain et ne retrouve pas le sujet dans les pages conservées.
4. Dernier point, je sais que l’on peut converser aussi en messagerie privée car un pseudo du site m’avait contacté de cette façon. Sais tu comment faire  ?

Par avance merci pour tes réponses.

Cordialement & bonne soirée

[Toto61]

 

Salut,

J'aime bien la cette métaphore de l'allumette :-) Pour répondre à tes questions :

Il y a 9 heures, NEOPHYTE a dit :

y a-t-il sur ce site un mode d’emploi du site ?

Il y a plusieurs sujets qui peuvent ce cumuler pour répondre à cette question. Tu trouveras notamment :

• Vous êtes nouveau ? Commencez ici !
• [TUTO] Rédaction et mise en forme des messages

Il y a 9 heures, NEOPHYTE a dit :

quand je réponds à tes propos je les cite en faisant un copier/coller entre guillemets ; tu fais autrement visiblement

Tu retrouveras ce point dans le tuto de rédaction précédent. Mais pour faire au plus simple, si le texte à citer n'est pas trop long, le plus rapide est de le surligner avec ton curseur, et, lorsque tu lâches le clic gauche, il apparai un bouton contextuel à la fin de ta sélection qui met en forme la citation voulue dans ta réponse. Voila ce que cela donne visuellement :

Il y a 9 heures, NEOPHYTE a dit :

Y a-t-il une méthode rationnelle pour contacter un pseudo

Si c'est dans le cadre d'un message ou d'une réponse, il te faut faire précéder le pseudo de la personne à appeler par un @ et tu saisies ensuite sans espace son pseudo. Par exemple, pour t'appeler cela donne ceci (il faut qu'il y ai un espace avant le @), puis tu valides en cliquant sur le pseudo :

                                                                                 

Il y a 9 heures, NEOPHYTE a dit :

je sais que l’on peut converser aussi en messagerie privée car un pseudo du site m’avait contacté de cette façon. Sais tu comment faire  ?

Il y a au moins 2 possibilités :

• Sois tu as le pseudo de la personne sous les yeux, auquel cas, et tu positionnes ta souris dessus, sans cliquer, pour faire apparaitre le menu contextuel dans lequel tu trouveras un bouton Message.
• 
• Sois tu passes par la messagerie, située en haut à droite de ton navigateur, tu cliques sur l'enveoppe, puis sur nouveau message, et tu rentres le pseudo (sans @), l'objet de ton message, et ton message (les 3 champs sont obligatoires).
  

Normalement, tu devrais pouvoir t'en sortir, et si besoin, tu sais comment me contacter :-).

Citation

La Connaissance s'accroît quand on la partage
Jean-claude BELLAMY

Juste une remarque : on est sur un forum d'entraide, donc toutes les demandes d'aides se font exclusivement dans un sujet public. La messagerie privée n'est là que pour échanger à titre personnel, ou pour faire passer des infos sensibles / confidentielles qui seraient nécessaires dans le cadre d'un support ouvert.

Citation

La Connaissance s'accroît quand on la partage
Jean-claude BELLAMY

Ce qui devrait être la première règle de tout forum d'entraide :-)

Bonne journée.
A+