Les antivirus classiques recherchent les malwares en partant du principe qu'ils s'exécutent dans la CPU d'une machine et résident dans la mémoire accessible à cette CPU. Bien sûr ! Un virus ou un malware ne peut pas se loger dans une carte graphique et s'exécuter avec la GPU de la carte dites-vous.

Mais vous avez tort, car cela est sans compter avec les possibilités toujours plus ébouriffantes des cartes graphiques et de leur GPU.

C'est ainsi que des développeurs anonymes ont publié sur GitHub deux malwares s'exécutant dans une GPU. Le premier est JellyFish, un rootkit Linux, un malware preuve de concept, indétectable par les antivirus existant et susceptible de résister à un reboot à chaud de la machine. Ce rootkit utilise OpenCL qui doit être installé sur la machine. Les développeurs de JellyFisk font remarquer que OpenCL est installé par défaut sur les Mac OS X :-) Leur rootkit doit d'ailleurs fonctionner prochainement sur ce système.

Un keylogger basé sur le rootkit JellyFish.

L'un comme l'autre doivent fonctionner aussi bien sur GPU AMD que GPU NVIDIA. Une version fonctionnelle sous Windows du keylogger doit arriver rapidement.

Les travaux de ces développeurs sont basés sur un document qui détaille la preuve de concept, et dont les auteurs sont cette fois parfaitement identifiés. Il s'agit de chercheurs de l'Université de Columbia. Le document est accessible ici.