Des experts en sécurité informatique ont lancé une mise en garde s’adressant particulièrement aux gamers et aux mineurs de cryptomonnaies. Ils viennent en effet d’identifier un nouveau type de programme malveillant qui exploite votre carte graphique pour échapper au radar des applications antivirus.
Comme le rapporte Bleeping Computer, le malware s'exécute depuis la mémoire tampon du GPU, ce qui lui permet de contourner les applications de sécurité qui pourraient surveiller la RAM à la recherche de signes suspects.
Cette menace de type "proof-of-concept" (PoC) serait apparemment vendue aux hackers les plus offrants, sur un forum dédié au piratage informatique. Le code partagé permettrait de créer toute sorte de malwares fonctionnels aisément diffusables.
- Où acheter les RTX 3080, RTX 3080 Ti, RTX 3070, RTX 3070 Ti, RTX 3060 Ti et RTX 3090 aujourd'hui ?
- Voici les meilleures cartes graphiques 2021
- PC Gamer ou PC portable Gamer : que choisir ?
Plusieurs GPU déjà touchés
Le vendeur attitré du PoC précise qu'il fonctionne parfaitement sur les PC Windows (avec un support OpenCL 2.0 ou supérieur) et qu'il a été testé sur un petit nombre de GPU AMD, Intel et Nvidia.
Les solutions graphiques citées par le cybercriminel incluent la Nvidia GTX 1650 et l'AMD Radeon RX 5700, ainsi que certaines puces graphiques intégrées Intel (comme les Intel UHD 620 et 630).
Notez que les GPU intégrés utilisent la mémoire système, bien sûr, mais il existe toujours des séquences de cette mémoire réservées au système graphique et qui peuvent être exploitées pour cacher furtivement des logiciels malveillants. De la même manière que la VRAM dédiée embarquée sur une carte vidéo discrète.
A surveiller de près
Avant de céder à la panique, si vous venez de réussir à mettre la main sur une RTX 3080 par exemple, rappelez-vous qu’aucune plainte n’a été déposée à ce jour concernant ledit PoC. Pour l'instant, il ne s'agit que d'une alerte sur un malware inédit loin de s’être généralisé en menace de premier ordre. Pour autant, il convient de surveiller plus prudemment sa mémoire GPU au même titre que sa RAM aujourd’hui. L'outil aurait été mis en vente le 25 août, soit il y a tout juste une semaine.
L’usage d’un GPU dans le but de pousser des logiciels malveillants sur un PC n'est pas nouveau en soi. Bleeping Computer le mentionne aussi : ce type d'exploit a déjà circulé dans l'espace universitaire, et "JellyFish" constitue l’un des PoC pour rootkit GPU les plus tristement célèbres - il visait les systèmes Linux en 2015.
L'auteur du nouveau PoC promet que sa création n'a rien en commun avec JellyFish, et que la méthode utilisée ici est "ne repose pas sur le mappage du code vers l'espace utilisateur". La menace reste donc inquiétante, car elle est capable d'affecter toute une gamme de GPU comme le suggèrent les tests cités ci-dessus - y compris les puces graphiques intégrées d'Intel qui occupent la plupart des PC portables Windows en circulation.
