Deux nouvelles failles découvertes dans sudo menace la sécurité des machines Linux (et macOS) : CVE-2025-32462 et CVE-2025-32463. Voici comment se protéger.
The post Linux – Obtenez un accès root avec ces deux failles dans sudo : CVE-2025-32462 et CVE-2025-32463 first appeared on IT-Connect.
AnduinOS est une distribution Linux légère et familière qui pourrait bien être la meilleure alternative à Windows 10.
Cet article AnduinOS : le “Linux” créé par un ingénieur de Microsoft qui ressemble à Windows 11 a été publié en premier par GinjFo.
Mot de passe root oublié sur Linux ? Découvrez 2 méthodes simples pour débloquer votre machine, que ce soit sur Ubuntu, Debian ou une autre distribution.
The post Linux : comment réinitialiser un mot de passe oublié ? first appeared on IT-Connect.
Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.
Dans cet article, nous allons vous expliquer :
J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.
Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :
Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.
Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :
Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.
Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :
Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :
Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).
Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :
Connexion\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécuritéDe ce fait, de nombreux boookits ont vu le jour à partir de 2010.
TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.
Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.
Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque.
Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.
L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile.
Toutefois, des bootkits UEFI existent.
LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie.
LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).
Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.
Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.
La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.
Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.
Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM).
Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated).
Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.
ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows.
Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects.
Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.
C’est une défense essentielle pour empêcher le chargement de code non autorisé au démarrage.
Cela fait partie de la stratégie de Microsoft pour rendre son OS plus sûr.
Plus de détails : Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares
Enfin, à lire : Qu’est-ce que le Secure boot la protection des PC UEFI et comment ça marche ?
Les fabricants de cartes mères publient régulièrement des mises à jour UEFI/BIOS pour corriger des failles exploitables par des bootkits.
Il est donc recommandé de :
Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.
Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés.
Le risque notamment est lorsque l’on installe une version modifiée de Windows.
Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.
Toujours utiliser des sources officielles.
Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.
La suppression d’un bootkit est complexe et dépend du type de système infecté :
Dans certains cas, utilisez des outils de secours bootables, comme :
Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows.
Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware.
De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.
| Critère | Rootkit | Bootkit |
| Emplacement | Noyau de Windows, pilotes, services, registre | MBR, secteur de démarrage, firmware UEFI |
| Moment d’exécution | Après le démarrage du système (post-boot) | Avant ou pendant le démarrage du système (pre-boot) |
| Objectif principal | Cacher d’autres malwares, manipuler le système | Contrôler la phase de boot, injecter du code très tôt |
| Mode d’action | Injection dans des processus ou des pilotes | Remplacement ou modification du bootloader |
| Furtivité | Très élevée, mais dépend de la version de l’OS | Extrême : le malware agit avant que le système ne se charge |
| Persistance | Persistant jusqu’à nettoyage ou désactivation | Peut survivre à un formatage de disque |
| Détection | Possible avec outils avancés (antirootkits, EDR) | Très difficile sans analyse firmware ou scan UEFI |
L’article Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger est apparu en premier sur malekal.com.
Vous envisagez de quitter Windows pour Linux ? Découvrez les informations essentielles à connaître avant de franchir le pas et éviter les déceptions.
The post Quitter Windows pour Linux : ce que vous devez savoir avant de vous décider first appeared on IT-Connect.
La Ville de Lyon abandonne Windows et Microsoft Office pour adopter Linux et OnlyOffice, un choix fort en faveur des logiciels libres et de l'open source.
The post Lyon va abandonner Windows et Office au profit de Linux et OnlyOffice first appeared on IT-Connect.
Comment modifier le mot de passe root de MySQL ou MariaDB sous Debian ? Explications pas à pas où l'on va modifier directement la base de données.
The post MySQL / MariaDB : comment modifier le mot de passe de root ou d’un utilisateur ? first appeared on IT-Connect.
Le Danemark suit l'Allemagne et délaisse Microsoft pour Linux : un pas fort vers la souveraineté numérique et l'indépendance technologique en Europe.
The post L’Allemagne et le Danemark veulent abandonner Microsoft au profit de Linux et de l’open source ! first appeared on IT-Connect.
Des chercheurs ont découvert deux vulnérabilités dans Linux qui, combinées, permettent d’obtenir un accès root sur la majorité des distributions Linux.
The post Linux : l’exploitation de ces deux failles de sécurité permet de devenir root ! first appeared on IT-Connect.
Selon la CISA, les machines sous Linux sont actuellement la cible d'attaques basée sur l'exploitation d'une faille de sécurité critique : la CVE-2023-0386.
The post Linux – CVE-2023-0386 : la CISA alerte sur l’exploitation active de cette faille de sécurité ! first appeared on IT-Connect.
Valve modifie silencieusement le comportement de son client Steam sous Linux. Ce changement pourrait faire la différence pour les joueurs
Cet article Steam sur Linux : Proton est activé par défaut pour les jeux Windows a été publié en premier par GinjFo.
La fin de Windows 10 est programmée pour le 14 octobre 2025. À partir de cette date, Microsoft ne proposera plus de mises à jour de sécurité
Cet article Fin de Windows 10 : faut-il passer à Linux plutôt que d’acheter un nouveau PC ? a été publié en premier par GinjFo.
L’environnement de bureau Plasma 6.4 débarque. Il tente d'améliorer les performances tout en affinant chaque recoin de l’interface.
Cet article Plasma 6.4 : le bureau KDE devient plus fluide, accessible et personnalisable a été publié en premier par GinjFo.
