Bootkit
Qu'est-ce que Bootkit ?
BootkitMalware qui infecte le processus d'amorçage — MBR, VBR ou UEFI — pour se charger avant le système d'exploitation et obtenir un contrôle privilégié persistant.
Un bootkit est un rootkit spécialisé qui compromet les composants précoces du démarrage : MBR, VBR ou firmware UEFI. Comme il s'exécute avant l'OS et les outils de sécurité, il peut désactiver les défenses, accrocher le code du noyau et survivre à une réinstallation du système. Les bootkits modernes ciblent les variables UEFI et la partition EFI. Leur détection nécessite la vérification d'intégrité du firmware, un Secure/Measured Boot avec attestation TPM et une imagerie forensique hors ligne du support de boot. Atténuations : activer UEFI Secure Boot avec listes de révocation à jour, mots de passe BIOS/firmware, désactiver le démarrage CSM hérité et chiffrer le disque complet pour détecter les altérations de la chaîne d'amorçage.
● Exemples
- 01
BlackLotus, bootkit UEFI capable de contourner Secure Boot sur systèmes patchés.
- 02
MoonBounce, implant firmware UEFI de niveau APT.
● Questions fréquentes
Qu'est-ce que Bootkit ?
Malware qui infecte le processus d'amorçage — MBR, VBR ou UEFI — pour se charger avant le système d'exploitation et obtenir un contrôle privilégié persistant. Cette notion relève de la catégorie Logiciels malveillants en cybersécurité.
Que signifie Bootkit ?
Malware qui infecte le processus d'amorçage — MBR, VBR ou UEFI — pour se charger avant le système d'exploitation et obtenir un contrôle privilégié persistant.
Comment se défendre contre Bootkit ?
Les défenses contre Bootkit combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Bootkit ?
Noms alternatifs courants : Rootkit de boot, Rootkit MBR.