IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Gigabyte : des millions de cartes mères PC ont été vendues avec une porte dérobée dans le micrologiciel
Un mécanisme qui met en danger la sécurité des données des utilisateurs

Le , par Stéphane le calme

16PARTAGES

16  0 
Un fabricant de cartes mères a installé une porte dérobée dans le micrologiciel de millions d'ordinateurs sans même avoir un verrou approprié sur cette entrée. Ce mécanisme dans le firmware des cartes mères Gigabyte pourrait permettre à des pirates d’installer des logiciels malveillants sur des millions d’ordinateurs.

Le firmware est le code qui contrôle le fonctionnement des composants matériels d’un ordinateur, comme la carte mère, le disque dur ou le processeur. Il est stocké dans une mémoire non volatile, c’est-à-dire qui conserve les données même lorsque l’ordinateur est éteint. Le firmware est essentiel pour démarrer l’ordinateur et charger le système d’exploitation, comme Windows ou Linux. Il peut aussi offrir des fonctionnalités supplémentaires, comme la mise à jour automatique ou la protection contre le vol.

Mercredi, des chercheurs de la société de cybersécurité spécialisée dans les micrologiciels Eclypsium ont révélé qu'ils avaient découvert un mécanisme caché dans le micrologiciel des cartes mères vendues par le fabricant taïwanais Gigabyte, dont les composants sont couramment utilisés dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu'un ordinateur avec la carte mère Gigabyte concernée redémarre, Eclypsium a découvert que le code du micrologiciel de la carte mère lance de manière invisible un programme de mise à jour qui s'exécute sur l'ordinateur et télécharge et exécute à son tour un autre logiciel.

Alors qu'Eclypsium affirme que le code caché est censé être un outil inoffensif pour maintenir à jour le micrologiciel de la carte mère, les chercheurs ont découvert qu'il était implémenté de manière non sécurisée, permettant potentiellement au mécanisme d'être détourné et utilisé pour installer des logiciels malveillants au lieu du programme prévu par Gigabyte. Et comme le programme de mise à jour est déclenché à partir du micrologiciel de l'ordinateur, en dehors de son système d'exploitation, il est difficile pour les utilisateurs de le supprimer ou même de le découvrir.

« Si vous avez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur Internet et l'exécute sans que vous soyez impliqué, et qu'elle n'ait rien fait de tout cela en toute sécurité », déclare John Loucaides, qui dirige la stratégie et la recherche à Eclypsium. « Le concept de passer outre l'utilisateur final et de prendre en charge sa machine ne convient pas à la plupart des gens ».

Comment Eclypsium a découvert ce mécanisme et ses failles

Dans un billet de blog donnant des détails sur les résultats de la recherche, Eclypsium répertorie 271 modèles de cartes mères Gigabyte qui, selon les chercheurs, sont concernés. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mère leur ordinateur utilise peuvent vérifier en allant sur "Démarrer" dans Windows, puis sur "Informations système".

Eclypsium dit avoir trouvé le mécanisme de micrologiciel caché de Gigabyte tandis qu'il parcourait les ordinateurs des clients à la recherche de code malveillant basé sur le micrologiciel, un vecteur de plus en plus courant utilisé par des pirates. En 2018, par exemple, des hackers travaillant pour le compte de l'agence de renseignement militaire russe GRU ont été surpris en train de se servir de LoJack sur le micrologiciel des machines de victimes pour pouvoir les espionner. Des hackers parrainés par l'État chinois ont été repérés deux ans plus tard en train de réutiliser un logiciel espion basé sur un micrologiciel créé par la société de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe.

Les chercheurs d'Eclypsium ont été surpris de voir leurs analyses de détection automatisées signaler que le mécanisme de mise à jour de Gigabyte effectue certains des mêmes comportements louches que ces outils de piratage parrainés par l'État (notamment en se cachant dans le micrologiciel et en installant silencieusement un programme qui télécharge du code depuis Internet).

Citation Envoyé par Eclypsium
Récemment, la plate-forme Eclypsium a commencé à détecter un comportement suspecté de type porte dérobée dans les systèmes Gigabyte dans la nature. Ces détections ont été pilotées par des méthodes de détection heuristiques, qui jouent un rôle important dans la détection de nouvelles menaces de chaîne d'approvisionnement jusque-là inconnues, où des produits ou des mises à jour technologiques tiers légitimes ont été compromis. Notre analyse de suivi a découvert que le micrologiciel des systèmes Gigabyte supprime et exécute un exécutable natif Windows pendant le processus de démarrage du système, et cet exécutable télécharge et exécute ensuite des charges utiles supplémentaires de manière non sécurisée. Il utilise les mêmes techniques que d'autres fonctionnalités de type porte dérobée OEM comme la porte dérobée Computrace (alias LoJack DoubleAgent) abusée par les acteurs malveillants et même les implants de micrologiciels tels que Sednit LoJax, MosaicRegressor, Vector-EDK. Une analyse ultérieure a montré que ce même code est présent dans des centaines de modèles de PC Gigabyte. Nous travaillons avec Gigabyte pour résoudre cette implémentation non sécurisée de leur capacité de centre d'applications.

Dans l'intérêt de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et stratégies défensives dans un délai plus rapide qu'une divulgation de vulnérabilité typique. Cette porte dérobée semble implémenter une fonctionnalité intentionnelle et nécessiterait une mise à jour du micrologiciel pour la supprimer complètement des systèmes concernés. Bien que notre enquête en cours n'ait pas confirmé l'exploitation par un acteur malveillant spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d'approvisionnement des organisations disposant de systèmes Gigabyte. À un niveau élevé, les vecteurs d'attaque pertinents comprennent*:
  • Compromission dans la chaîne d'approvisionnement
  • Compromission dans l'environnement local
  • Persistance des logiciels malveillants via la fonctionnalité de ce micrologiciel dans les systèmes

Quels sont les risques pour les utilisateurs ?

Les risques sont multiples. Tout d’abord, le programme d’actualisation télécharge le code sans vérification d’authenticité, ce qui signifie qu’il n’y a pas de garantie que le logiciel provienne bien de Gigabyte et non d’une source malveillante. De plus, dans certains cas, le téléchargement se fait via une connexion HTTP, qui n’est pas chiffrée, ce qui rend possibles des attaques de type “man-in-the-middle” sur des réseaux Wi-Fi non sécurisés. Un pirate pourrait ainsi se faire passer pour le serveur de Gigabyte et envoyer un logiciel malveillant au programme d’actualisation.

Ensuite, le programme d’actualisation s’exécute depuis le firmware, et non depuis le système d’exploitation, ce qui le rend difficile à détecter ou à supprimer par les utilisateurs ou les solutions de sécurité classiques, comme les antivirus ou les pare-feu. Le logiciel malveillant installé par le programme d’actualisation pourrait ainsi rester caché dans le firmware et s’activer à chaque démarrage de l’ordinateur, sans être remarqué.

Enfin, le logiciel malveillant installé dans le firmware pourrait avoir des conséquences graves sur la sécurité et la confidentialité des utilisateurs. Il pourrait par exemple espionner leurs activités, voler leurs données personnelles ou bancaires, endommager leurs fichiers ou leur matériel, ou encore prendre le contrôle à distance de leur ordinateur.

Dans d'autres cas, le programme de mise à jour installé par le mécanisme du micrologiciel de Gigabyte est configuré pour être téléchargé à partir d'un périphérique de stockage en réseau (NAS) local, une fonctionnalité qui semble être conçue pour que les réseaux d'entreprise administrent les mises à jour sans que toutes leurs machines soient connectées à Internet. Mais Eclypsium prévient que dans ces cas, un acteur malveillant sur le même réseau pourrait usurper l'emplacement du NAS pour installer de manière invisible son propre logiciel malveillant à la place.

Que faire pour se protéger ?

Eclypsium dit qu'il a travaillé avec Gigabyte pour divulguer ses conclusions au fabricant de la carte mère, et que Gigabyte a déclaré qu'il prévoyait de résoudre les problèmes.

Le correctif devrait passer par une mise à jour du firmware des cartes mères concernées, qui devra être diffusée à des millions d’utilisateurs potentiels. Gigabyte devra également trouver un meilleur moyen de délivrer des mises à jour de firmware sécurisées à ses clients.

En attendant, les utilisateurs peuvent vérifier si leur carte mère fait partie des modèles affectés en consultant la liste publiée par Eclypsium. Ils peuvent aussi identifier le modèle de leur carte mère en allant dans “Démarrer” puis “Informations système” sous Windows (comme indiqué plus haut).

S’ils sont concernés, ils doivent être vigilants sur les réseaux Wi-Fi auxquels ils se connectent et éviter ceux qui ne sont pas de confiance. Ils doivent aussi utiliser des solutions de sécurité qui peuvent détecter les anomalies dans le firmware.

Liste des modèles affectés

Source : Eclypsium

Et vous ?

Que pensez-vous de la faille de sécurité découverte par Eclypsium ?
Avez-vous vérifié si votre carte mère est concernée par le problème ?
Quelles mesures avez-vous prises ou comptez-vous prendre pour vous protéger ?
Faites-vous confiance à Gigabyte pour corriger la faille et vous fournir des mises à jour de firmware sécurisées ?
Quelle est votre opinion sur le fait que Gigabyte ait installé un mécanisme caché dans le firmware de ses cartes mères ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de phil995511
Membre éprouvé https://www.developpez.com
Le 01/06/2023 à 23:03
Ca devient une mode ;-(

Lenovo à fait pareil il y a peu...
1  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 02/06/2023 à 0:14
Je pense qu'ils le font tous et ça inclut les smartphones
1  0 
Avatar de eddy72
Membre régulier https://www.developpez.com
Le 02/06/2023 à 12:38
Qui sont les clients de Gigabyte ?
Depuis combien de temps suis je la braguette ouverte
c'est du sérieux tous ça
0  0 
Avatar de foxzoolm
Membre habitué https://www.developpez.com
Le 06/06/2023 à 13:03
le pire ce n'est pas de mettre une porte dérobé... c'est d'y mettre une clé en carton...
En plus, y a personne qui verifie les requetes HTTP sur ces infra ?
nan parce que de nos jours y a vraiment plus de raison... faudrait meme bloquer de base le port 80.
0  0 
Avatar de shenron666
Expert confirmé https://www.developpez.com
Le 08/06/2023 à 13:42
Je me permet de préciser que par "firmware" il est bien question du BIOS UEFI de la carte mère.

Je conseille fortement au possesseurs de carte mère Gigabyte d'aller sur la source Eclypsium indiquée dans l'article car à l'instant où je commente le nombre de modèles concernés est passé de 271 à 406.
Une liste des modèles au format pdf y est disponible.
Je ne met pas les liens car en cas d'évolution ils deviendraient obsolètes.

De plus, Eclypsium fourni sur un repo Github un script powershell pour déterminer si oui ou non un système est impacté :
https://github.com/eclypsium/Gigabyte
0  0 
Avatar de Madmac
Membre extrêmement actif https://www.developpez.com
Le 02/06/2023 à 3:49
Sachant qu’il y a une porte dérobée dans les CPU d'Intel. Une de plus ou une de moins ne fait plus une grosse différence.
0  3