Un nouveau type de menace malveillante pourrait entrer en jeu, une menace qui utilise votre carte graphique pour rester hors du radar des applications antivirus (et oui, vous avez raison si vous pensez que ce n’est rien de nouveau en tant que tel – plus sur que plus tard – mais ce concept particulier est une nouvelle tournure).
Ainsi, l’histoire rapportée par Bleeping Computer est que l’idée est d’exécuter des logiciels malveillants via le GPU dans sa mémoire tampon, en restant caché de toutes les applications de sécurité qui surveillent la RAM du système comme un faucon à la recherche de signes de quelque chose de suspect.
La preuve de concept (PoC) de cela a apparemment été vendue sur un forum de hackers à une partie inconnue qui utilisera vraisemblablement le code pour créer une sorte de malware fonctionnel à diffuser dans la nature.
Le vendeur du PoC explique qu’il fonctionne sur les systèmes Windows (avec OpenCL 2.0 ou mieux) et qu’il a été testé sur un petit nombre de GPU de tous les principaux fabricants. Cela signifie les solutions graphiques AMD, Intel et Nvidia, y compris les Nvidia GTX 1650 et AMD Radeon RX 5700, ainsi que les graphiques intégrés Intel dans les processeurs (Intel UHD 620 et 630).
Notez que les GPU intégrés utilisent bien sûr la mémoire système, mais il en reste des morceaux réservés au système graphique qui peuvent être utilisés de la même manière pour cacher furtivement les logiciels malveillants que la VRAM dédiée embarquée sur une carte vidéo discrète.
Sommaire
Analyse : c’est inquiétant, mais ne nous emballons pas pour l’instant
Avant de commencer à proclamer des stations de panique dans le monde des GPU, rappelez-vous que rien n’en est réellement sorti jusqu’à présent. Pour le moment, il ne s’agit que d’un rapport sur un PoC revendiqué qui n’a pas été transformé en quelque chose qui pourrait menacer votre PC – pas encore, en tout cas, mais surveillez cet espace (ou plutôt, surveillez cet espace mémoire GPU). L’outil aurait été vendu le 25 août, soit dit en passant, il y a tout juste une semaine.
De plus, l’idée d’utiliser le GPU pour pousser des logiciels malveillants sur un PC de cette manière n’est pas nouvelle. Comme l’observe Bleeping Computer, le code de démonstration de ce type d’exploit exploitant les cartes graphiques a déjà circulé dans l’espace universitaire, et nous avons même vu « JellyFish », un PoC pour un rootkit GPU destiné aux systèmes Linux en 2015. Un autre hacker a d’ailleurs signalé ce dernier dans le forum où le nouveau PoC a été vendu.
Pourtant, même si cela n’a rien de nouveau en tant que tel, l’auteur promet que leur nouvelle création n’a rien à voir avec JellyFish, et que la méthode utilisée ici est « différente et ne repose pas sur le mappage du code vers l’espace utilisateur ».
En bref, il y a donc ici des rumeurs inquiétantes selon lesquelles cela a le potentiel de devenir quelque chose d’inquiétant. Et s’il est capable d’affecter une gamme de GPU comme le suggèrent les tests – y compris les graphiques intégrés Intel dont il a été prouvé qu’ils sont affectés – alors c’est vraiment une préoccupation. Après tout, la plupart des PC Windows sont des ordinateurs portables, exécutant principalement des processeurs Intel.
