Des millions de cartes mres PC ont t vendues avec une porte drobe dans le micrologiciel, un mcanisme qui met en danger la scurit des donnes des utilisateurs

Le firmware est le code qui contrle le fonctionnement des composants matriels dun ordinateur, comme la carte mre, le disque dur ou le processeur. Il est stock dans une mmoire non volatile, cest--dire qui conserve les donnes mme lorsque lordinateur est teint. Le firmware est essentiel pour dmarrer lordinateur et charger le systme dexploitation, comme Windows ou Linux. Il peut aussi offrir des fonctionnalits supplmentaires, comme la mise jour automatique ou la protection contre le vol.

Mercredi, des chercheurs de la socit de cyberscurit spcialise dans les micrologiciels Eclypsium ont rvl qu'ils avaient dcouvert un mcanisme cach dans le micrologiciel des cartes mres vendues par le fabricant tawanais Gigabyte, dont les composants sont couramment utiliss dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu'un ordinateur avec la carte mre Gigabyte concerne redmarre, Eclypsium a dcouvert que le code du micrologiciel de la carte mre lance de manire invisible un programme de mise jour qui s'excute sur l'ordinateur et tlcharge et excute son tour un autre logiciel.

Alors qu'Eclypsium affirme que le code cach est cens tre un outil inoffensif pour maintenir jour le micrologiciel de la carte mre, les chercheurs ont dcouvert qu'il tait implment de manire non scurise, permettant potentiellement au mcanisme d'tre dtourn et utilis pour installer des logiciels malveillants au lieu du programme prvu par Gigabyte. Et comme le programme de mise jour est dclench partir du micrologiciel de l'ordinateur, en dehors de son systme d'exploitation, il est difficile pour les utilisateurs de le supprimer ou mme de le dcouvrir.

Si vous avez l'une de ces machines, vous devez vous inquiter du fait qu'elle rcupre quelque chose sur Internet et l'excute sans que vous soyez impliqu, et qu'elle n'ait rien fait de tout cela en toute scurit , dclare John Loucaides, qui dirige la stratgie. et la recherche Eclypsium. Le concept de passer outre l'utilisateur final et de prendre en charge sa machine ne convient pas la plupart des gens .

Comment Eclypsium a dcouvert ce mcanisme et ses failles

Dans un billet de blog donnant des dtails sur les rsultats de la recherche, Eclypsium rpertorie 271 modles de cartes mres Gigabyte qui, selon les chercheurs, sont concerns. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mre leur ordinateur utilise peuvent vrifier en allant sur "Dmarrer" dans Windows, puis sur "Informations systme".

Eclypsium dit avoir trouv le mcanisme de micrologiciel cach de Gigabyte tandis qu'il parcourait les ordinateurs des clients la recherche de code malveillant bas sur le micrologiciel, un vecteur de plus en plus courant utilis par des pirates. En 2018, par exemple, des hackers travaillant pour le compte de l'agence de renseignement militaire russe GRU ont t surpris en train de se servir de LoJack sur le micrologiciel des machines de victimes pour pouvoir les espionner. Des hackers parrains par l'tat chinois ont t reprs deux ans plus tard en train de rutiliser un logiciel espion bas sur un micrologiciel cr par la socit de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe.

Les chercheurs d'Eclypsium ont t surpris de voir leurs analyses de dtection automatises signaler que le mcanisme de mise jour de Gigabyte effectue certains des mmes comportements louches que ces outils de piratage parrains par l'tat (notamment en se cachant dans le micrologiciel et en installant silencieusement un programme qui tlcharge du code depuis Internet).

Envoy par Eclypsium

Rcemment, la plate-forme Eclypsium a commenc dtecter un comportement suspect de type porte drobe dans les systmes Gigabyte dans la nature. Ces dtections ont t pilotes par des mthodes de dtection heuristiques, qui jouent un rle important dans la dtection de nouvelles menaces de chane d'approvisionnement jusque-l inconnues, o des produits ou des mises jour technologiques tiers lgitimes ont t compromis. Notre analyse de suivi a dcouvert que le micrologiciel des systmes Gigabyte supprime et excute un excutable natif Windows pendant le processus de dmarrage du systme, et cet excutable tlcharge et excute ensuite des charges utiles supplmentaires de manire non scurise. Il utilise les mmes techniques que d'autres fonctionnalits de type porte drobe OEM comme la porte drobe Computrace (alias LoJack DoubleAgent) abuse par les acteurs malveillants et mme les implants de micrologiciels tels que Sednit LoJax, MosaicRegressor, Vector-EDK. Une analyse ultrieure a montr que ce mme code est prsent dans des centaines de modles de PC Gigabyte. Nous travaillons avec Gigabyte pour rsoudre cette implmentation non scurise de leur capacit de centre d'applications.

Dans l'intrt de protger les organisations contre les acteurs malveillants, nous divulguons galement publiquement ces informations et stratgies dfensives dans un dlai plus rapide qu'une divulgation de vulnrabilit typique. Cette porte drobe semble implmenter une fonctionnalit intentionnelle et ncessiterait une mise jour du micrologiciel pour la supprimer compltement des systmes concerns. Bien que notre enqute en cours n'ait pas confirm l'exploitation par un acteur malveillant spcifique, une porte drobe active et rpandue qui est difficile supprimer pose un risque pour la chane d'approvisionnement des organisations disposant de systmes Gigabyte. un niveau lev, les vecteurs d'attaque pertinents comprennent*:

• Compromission dans la chane d'approvisionnement
• Compromission dans l'environnement local
• Persistance des logiciels malveillants via la fonctionnalit de ce micrologiciel dans les systmes

Les risques sont multiples. Tout dabord, le programme dactualisation tlcharge le code sans vrification dauthenticit, ce qui signifie quil ny a pas de garantie que le logiciel provienne bien de Gigabyte et non dune source malveillante. De plus, dans certains cas, le tlchargement se fait via une connexion HTTP, qui nest pas chiffre, ce qui rend possible des attaques de type man-in-the-middle sur des rseaux Wi-Fi non scuriss. Un pirate pourrait ainsi se faire passer pour le serveur de Gigabyte et envoyer un logiciel malveillant au programme dactualisation.

Ensuite, le programme dactualisation sexcute depuis le firmware, et non depuis le systme dexploitation, ce qui le rend difficile dtecter ou supprimer par les utilisateurs ou les solutions de scurit classiques, comme les antivirus ou les pare-feu. Le logiciel malveillant install par le programme dactualisation pourrait ainsi rester cach dans le firmware et sactiver chaque dmarrage de lordinateur, sans tre remarqu.

Enfin, le logiciel malveillant install dans le firmware pourrait avoir des consquences graves sur la scurit et la confidentialit des utilisateurs. Il pourrait par exemple espionner leurs activits, voler leurs donnes personnelles ou bancaires, endommager leurs fichiers ou leur matriel, ou encore prendre le contrle distance de leur ordinateur.

Dans d'autres cas, le programme de mise jour install par le mcanisme du micrologiciel de Gigabyte est configur pour tre tlcharg partir d'un priphrique de stockage en rseau (NAS) local, une fonctionnalit qui semble tre conue pour que les rseaux d'entreprise administrent les mises jour sans que toutes leurs machines ne soient connectes Internet. Mais Eclypsium prvient que dans ces cas, un acteur malveillant sur le mme rseau pourrait usurper l'emplacement du NAS pour installer de manire invisible son propre logiciel malveillant la place.

Que faire pour se protger ?

Eclypsium dit qu'il a travaill avec Gigabyte pour divulguer ses conclusions au fabricant de la carte mre, et que Gigabyte a dclar qu'il prvoyait de rsoudre les problmes.

Le correctif devrait passer par une mise jour du firmware des cartes mres concernes, qui devra tre diffuse des millions dutilisateurs potentiels. Gigabyte devra galement trouver un meilleur moyen de dlivrer des mises jour de firmware scurises ses clients.

En attendant, les utilisateurs peuvent vrifier si leur carte mre fait partie des modles affects en consultant la liste publie par Eclypsium. Ils peuvent aussi identifier le modle de leur carte mre en allant dans Dmarrer puis Informations systme sous Windows (comme indiqu plus haut).

Sils sont concerns, ils doivent tre vigilants sur les rseaux Wi-Fi auxquels ils se connectent et viter ceux qui ne sont pas de confiance. Ils doivent aussi utiliser des solutions de scurit qui peuvent dtecter les anomalies dans le firmware.

Liste des modles affects

Source : Eclypsium

Et vous ?

Que pensez-vous de la faille de scurit dcouverte par Eclypsium ?
Avez-vous vrifi si votre carte mre est concerne par le problme ?
Quelles mesures avez-vous prises ou comptez-vous prendre pour vous protger ?
Faites-vous confiance Gigabyte pour corriger la faille et vous fournir des mises jour de firmware scurises ?
Quelle est votre opinion sur le fait que Gigabyte ait install un mcanisme cach dans le firmware de ses cartes mres ?