Deux nouvelles failles découvertes dans sudo menace la sécurité des machines Linux (et macOS) : CVE-2025-32462 et CVE-2025-32463. Voici comment se protéger.
The first open-source WSL release, Windows Subsystem for Linux, is available for preview. WSL is a platform that enables you to run Linux distributions within Windows. This article looks at the new release, 2.6, the open-source shift, and highlights updates to the stable branch, 2.5.
Mot de passe root oublié sur Linux ? Découvrez 2 méthodes simples pour débloquer votre machine, que ce soit sur Ubuntu, Debian ou une autre distribution.
Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.
Dans cet article, nous allons vous expliquer :
ce qu’est un bootkit et comment il fonctionne,
pourquoi il est si difficile à détecter et à supprimer,
quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.
J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.
Qu’est-ce qu’un bootkit ?
Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :
ou le bootloader UEFI (EFI/ESP) sur les machines modernes.
Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.
Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?
Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :
injecter des composants malveillants dans le noyau (kernel),
contourner les contrôles d’intégrité,
cacher des fichiers, processus ou connexions réseau.
Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.
Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :
les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.
Que peut faire un bootkit ?
Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :
l’espionnage (keylogger, interception de trafic, vol d’identifiants),
le contrôle total du système, y compris l’élévation de privilèges,
la persistance extrême, même après un formatage classique,
la manipulation de fonctions système, rendant la machine instable ou totalement compromise.
Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).
Exemples de bootkits connus
En MBR
Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :
Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
Pas de Secure Boot à l’époque du MBR
De ce fait, de nombreux boookits ont vu le jour à partir de 2010.
TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.
Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.
Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque. Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.
En UEFI
L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile. Toutefois, des bootkits UEFI existent.
LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie. LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).
Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.
Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.
Comment s’en protéger ?
La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.
Activer Secure Boot
Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.
Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM). Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated). Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.
Voilà pourquoi il est totalement contre-indiqué de désactiver le Secure boot
ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows. Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects. Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.
Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
Installez les mises à jour proposées dans les outils des fabricants de PC OEM
Utiliser un antivirus avec protection UEFI
Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.
Éviter les ISO ou installeurs non vérifiés
Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés. Le risque notamment est lorsque l’on installe une version modifiée de Windows. Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.
Toujours utiliser des sources officielles.
Utiliser des outils spécialisés de détection
Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.
Comment supprimer un bootkit ?
La suppression d’un bootkit est complexe et dépend du type de système infecté :
Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.
Dans certains cas, utilisez des outils de secours bootables, comme :
Microsoft Defender Offline,
ESET SysRescue Live,
ou un LiveCD Linux spécialisé dans l’analyse firmware.
Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows. Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware. De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.
Critère
Rootkit
Bootkit
Emplacement
Noyau de Windows, pilotes, services, registre
MBR, secteur de démarrage, firmware UEFI
Moment d’exécution
Après le démarrage du système (post-boot)
Avant ou pendant le démarrage du système (pre-boot)
Objectif principal
Cacher d’autres malwares, manipuler le système
Contrôler la phase de boot, injecter du code très tôt
Mode d’action
Injection dans des processus ou des pilotes
Remplacement ou modification du bootloader
Furtivité
Très élevée, mais dépend de la version de l’OS
Extrême : le malware agit avant que le système ne se charge
La Ville de Lyon abandonne Windows et Microsoft Office pour adopter Linux et OnlyOffice, un choix fort en faveur des logiciels libres et de l'open source.
Ubuntu now offers two types of snapshot services: one that lets you look back into history, and another that looks forward into development. The recently introduced monthly snapshot releases serve as curated previews of the upcoming Ubuntu version, offering a glimpse into the future and enabling early testing. In contrast, archive snapshots, provided by the Ubuntu snapshot service, freeze Ubuntu package archives at specific moments in the past, ensuring reproducible environments and preserving historical states of your software.
Microsoft Edit is a new command-line editor for Windows and Linux. Currently, you cannot install Microsoft Edit using apt-get on Ubuntu, so you must either download the latest version from GitHub or install it via snap. I will also briefly compare Microsoft Edit with GNU nano, the standard text editor in the Linux terminal. It turns out that Microsoft Edit has at least one crucial advantage over nano.
Des chercheurs ont découvert deux vulnérabilités dans Linux qui, combinées, permettent d’obtenir un accès root sur la majorité des distributions Linux.
Selon la CISA, les machines sous Linux sont actuellement la cible d'attaques basée sur l'exploitation d'une faille de sécurité critique : la CVE-2023-0386.
CISA has warned U.S. federal agencies about attackers targeting a high-severity vulnerability in the Linux kernel's OverlayFS subsystem that allows them to gain root privileges. [...]
Attackers can exploit two newly discovered local privilege escalation (LPE) vulnerabilities to gain root privileges on systems running major Linux distributions. [...]
Vous avez téléchargé l’image ISO d’un système d’exploitation (Ubuntu, Debian…), une archive volumineuse ou un fichier important depuis Internet, et vous souhaitez vous assurer qu’il n’a pas été altéré durant le téléchargement ? Très bon réflexe : vérifier l’intégrité d’un fichier permet d’éviter les mauvaises surprises, comme un fichier qui aurait été corrompu pendant le … Lire la suite