Ransomware CPU - Cette menace qui prend en otage votre processeur AMD

Si vous pensiez que formater votre disque dur pouvait résoudre TOUS vos problèmes, hé bah c’est raté, car voici un ransomware qui peut persister même quand vous changez votre disque dur ! Il s’agit d’un malware si profondément ancré dans votre machine qu’il faudrait littéralement jeter votre processeur à la poubelle pour vous en débarrasser.

Si vous êtes l’heureux propriétaire d’un processeur AMD, je pense que ceci va donc vous intéresser. En effet, Google a révélé il y a quelques semaines une faille critique dans tous les processeurs AMD Zen (oui oui, tous les Ryzen et Epyc depuis 2017) qui permet d’injecter du microcode non autorisé directement dans le CPU. Pour vous la faire simple, ils ont pu modifier le comportement fondamental du processeur en lui faisant générer systématiquement le nombre “4” quand on lui demande un nombre aléatoire. Les connaisseurs reconnaîtront le clin d’œil à XKCD qui nous rappelle que quand on nous demande un nombre au hasard entre 1 et 10, “4” est statistiquement qu’on choisit le plus. Allez savoir pourquoi…

Mais l’histoire ne s’arrête pas là puisqu’un certain Christiaan Beek, expert en sécurité chez Rapid7, a décidé de pousser le concept encore plus loin. À la conférence RSA 2025, il a annoncé avoir développé un prototype de ransomware qui cible directement le microcode du CPU. C’est un malware qui n’infecte ni vos fichiers, ni votre système d’exploitation, mais le cœur même de votre machine.

Mais rassurez-vous, Rapid7 ne publiera pas le code de ce PoC, toutefois, ce qui était avant théoriquement possible est maintenant techniquement réalisable.

Mais alors pourquoi c’est si flippant ? Et bien parce que ce type d’attaque représente un niveau de persistance sans précédent car contrairement aux malwares traditionnels qui peuvent être supprimés en formatant votre disque dur, un ransomware placé au niveau du CPU survivrait à pratiquement tout, sauf au remplacement physique du processeur.

Plus grave encore, ce type d’attaque contourne toutes les mesures de sécurité traditionnelles car il s’agit d’une altération du microcode, et si un attaquant se place dans le CPU ou le firmware, il contournera absolument toutes les technologies de sécurité traditionnelles. Ainsi, même les technologies avancées comme le SEV (Secure Encrypted Virtualization) d’AMD, conçues pour protéger les machines virtuelles des hôtes compromis, seraient inefficaces face à cette menace.

Du coup, bien que l’exploitation nécessite actuellement des privilèges administrateur (vous savez, ceux que vous donnez sans réfléchir quand une pop-up apparaît), les experts s’inquiètent de voir cette technologie évoluer. Des indices montrent que des groupes criminels s’orientent déjà vers ce type d’attaques, car des bootkits UEFI sont vendus sur des forums cybercriminels depuis 2018, et les fuites du groupe Conti en 2022 révélaient même que leurs développeurs travaillaient sur du ransomware au niveau firmware.

Heureusement, AMD a développé un correctif après la divulgation de Google et ce correctif est actuellement déployé sous forme de mise à jour BIOS par les fabricants de cartes mères. Donc si vous utilisez un serveur qui tourne sur un processeur Epyc, les correctifs sont déjà disponibles… Et pour les possesseurs de Ryzen, les mises à jour sont en cours de déploiement (Asus a d’ailleurs accidentellement divulgué un correctif bêta en janvier).

Ce n’est donc plus une question de “Si”, mais de “Quand” cela arrivera IRL. Alors en attendant, votre meilleure défense c’est de maintenir vos systèmes à jour, dans ce cas, particulièrement tout ce qui est mises à jour du BIOS surtout si vous possédez un processeur AMD Zen !

Source