Commençons par revenir un peu sur Blue Pill. Il s'agit d'une backdoor utilisant les capacités de virtualisation matérielle des processeurs AMD Opteron 64 bits, technologie appelée SVM ou Pacifica pour les intimes. Le principe est de créer un hyperviseur qui va arrêter le système d'exploitation en cours d'exécution, activer la virtualisation et relancer le tout dans une machine virtuelle. Ni vu ni connu je t'embrouille. Et bienvenue dans la Matrice... S'appuyant sur le matériel, cette virtualisation ne souffre pas des nombreux défauts de ses petites sœurs logicielles, la rendant très difficile, voire impossible à détecter sans avoir recours à des sources externes. C'était du moins le discours ambiant jusqu'à la semaine dernière.

Les gens de Matasano, bien connus pour leurs billets pour le moins toniques, ont en effet lancé un défi à Joanna. Après les travaux de Dino Dai Zovi sur Vitriol, un rootkit pour architecture Intel VT-X[1], Thomas Ptacek accompagné de Nate Lawson et Peter Ferrie lui proposent le challenge suivant durant la prochaine BlackHat : prendre deux laptops identiques et détecter avec leur logiciel sur lequel elle aura exécuté Blue Pill. S'ils perdent, elle garde les portables.

Autant dire que pour quelqu'un qui vient de monter sa boîte pour vendre sa capacité à créer des rootkits et autres backdoor indétectables, l'enjeu est de taille. Refuser serait un aveu d'échec, mais accepter la confrontation pourrait tout simplement ruiner sa réputation et son gagne-pain dans la foulée. La réponse ne se fera cependant pas attendre. Le lendemain, Joanna relève le défi mais y ajoutant quelques conditions qui le rendent globalement irréalisable. Car en plus de l'augmentation du nombre de machines à scanner et de la publication des codes sources respectifs de la backdoor et du détecteur, elle ne demande pas moins que la rémunération de deux personnes à plein temps pendant six moins à deux-cents dollars de l'heure, coût global estimé à quelques quatre-cent mille dollars, pour développer la-dite backdoor. Rien que ça. Pourquoi ? Parce que Blue Pill appartient à COSEINC et n'implémente pas toutes les fonctionnalités nécessaires. Il va donc falloir coder sec.

Retour cinglant de Matasano : "Why would we pay you $384,000 to buy a rootkit we already know we can detect?". Ce qui se traduit pour les anglophobes par : "pourquoi te payerions-nous 384000$ pour acheter un rootkit que nous sommes déjà capables de détecter ?". Comme à son habitude, Thomas Ptacek n'y va pas par quatre chemins. Le challenge n'aura pas lieu, mais ils démontreront tout de même les techniques qu'ils déployent pour détecter les rootkits basés sur de la virtualisation matérielle.

Pendant ce temps à Singapour. Thomas Lim, patron de COSEINC, se demande comment recréer l'évènement autour de SyScan'07. Or il se trouve que Edgar Barbosa, un des auteurs de Blue Pill, travaille toujours pour lui. Décision est donc prise de couper l'herbe sous les pieds des trois compères en programmant à la dernière minute une présentation pendant laquelle Edgar nous a exposé diverses techniques pour détecter ces rootkits. Le tout pendant le déjeuner.

Et là, vous vous demandez ce qu'il a raconté. Forcément. Et bien désolé, il va vous falloir attendre mon compte-rendu de SyScan. Tout ce que je vais me laisser à vous dire, c'est qu'il y a de la matière et que c'est forcément très pointu, puisqu'il va faire appel à des spécificités de l'architecture matérielle du processeur et de l'implémentation de la virtualisation.

Notes

[1] La techonologie de virtualisation matérielle d'Intel.