Rootkit UEFI
Qu'est-ce que Rootkit UEFI ?
Rootkit UEFIRootkit implanté dans le firmware UEFI, se chargeant avant l'OS, survivant aux effacements de disque et contournant la plupart des défenses endpoint.
Un rootkit UEFI s'installe dans l'Unified Extensible Firmware Interface — successeur moderne du BIOS — généralement dans des modules de la flash SPI ou des pilotes d'amorçage. Il s'exécute avant le système d'exploitation et peut donc désactiver des contrôles de sécurité, modifier des composants de boot et redéployer d'autres malwares après une réinstallation de l'OS. Ces implants sont en général déployés par des acteurs sophistiqués via des privilèges kernel, un accès physique ou une compromission supply-chain. Les défenses comprennent un Secure Boot strict, des firmwares signés, du measured boot avec attestation TPM, des outils d'intégrité du fabricant (ex. CHIPSEC), Boot Guard, la protection en écriture du BIOS et les contrôles d'intégrité de la chaîne de mise à jour firmware.
● Exemples
- 01
LoJax, premier rootkit UEFI connu publiquement utilisé en environnement réel.
- 02
Bootkits UEFI MoonBounce et BlackLotus ciblant les entreprises.
● Questions fréquentes
Qu'est-ce que Rootkit UEFI ?
Rootkit implanté dans le firmware UEFI, se chargeant avant l'OS, survivant aux effacements de disque et contournant la plupart des défenses endpoint. Cette notion relève de la catégorie Logiciels malveillants en cybersécurité.
Que signifie Rootkit UEFI ?
Rootkit implanté dans le firmware UEFI, se chargeant avant l'OS, survivant aux effacements de disque et contournant la plupart des défenses endpoint.
Comment se défendre contre Rootkit UEFI ?
Les défenses contre Rootkit UEFI combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Rootkit UEFI ?
Noms alternatifs courants : Implant UEFI, Bootkit EFI.