Un fabricant de cartes mères a installé une porte dérobée dans le micrologiciel de millions d'ordinateurs sans même avoir un verrou approprié sur cette entrée. Ce mécanisme dans le firmware des cartes mères Gigabyte pourrait permettre à des pirates d’installer des logiciels malveillants sur des millions d’ordinateurs.Le firmware est le code qui contrôle le fonctionnement des composants matériels d’un ordinateur, comme la carte mère, le disque dur ou le processeur. Il est stocké dans une mémoire non volatile, c’est-à-dire qui conserve les données même lorsque l’ordinateur est éteint. Le firmware est essentiel pour démarrer l’ordinateur et charger le système d’exploitation, comme Windows ou Linux. Il peut aussi offrir des fonctionnalités supplémentaires, comme la mise à jour automatique ou la protection contre le vol.
Mercredi, des chercheurs de la société de cybersécurité spécialisée dans les micrologiciels Eclypsium ont révélé qu'ils avaient découvert un mécanisme caché dans le micrologiciel des cartes mères vendues par le fabricant taïwanais Gigabyte, dont les composants sont couramment utilisés dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu'un ordinateur avec la carte mère Gigabyte concernée redémarre, Eclypsium a découvert que le code du micrologiciel de la carte mère lance de manière invisible un programme de mise à jour qui s'exécute sur l'ordinateur et télécharge et exécute à son tour un autre logiciel.
Alors qu'Eclypsium affirme que le code caché est censé être un outil inoffensif pour maintenir à jour le micrologiciel de la carte mère, les chercheurs ont découvert qu'il était implémenté de manière non sécurisée, permettant potentiellement au mécanisme d'être détourné et utilisé pour installer des logiciels malveillants au lieu du programme prévu par Gigabyte. Et comme le programme de mise à jour est déclenché à partir du micrologiciel de l'ordinateur, en dehors de son système d'exploitation, il est difficile pour les utilisateurs de le supprimer ou même de le découvrir.
« Si vous avez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur Internet et l'exécute sans que vous soyez impliqué, et qu'elle n'ait rien fait de tout cela en toute sécurité », déclare John Loucaides, qui dirige la stratégie et la recherche à Eclypsium. « Le concept de passer outre l'utilisateur final et de prendre en charge sa machine ne convient pas à la plupart des gens ».
Comment Eclypsium a découvert ce mécanisme et ses failles
Dans un billet de blog donnant des détails sur les résultats de la recherche, Eclypsium répertorie 271 modèles de cartes mères Gigabyte qui, selon les chercheurs, sont concernés. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mère leur ordinateur utilise peuvent vérifier en allant sur "Démarrer" dans Windows, puis sur "Informations système".
Eclypsium dit avoir trouvé le mécanisme de micrologiciel caché de Gigabyte tandis qu'il parcourait les ordinateurs des clients à la recherche de code malveillant basé sur le micrologiciel, un vecteur de plus en plus courant utilisé par des pirates. En 2018, par exemple, des hackers travaillant pour le compte de l'agence de renseignement militaire russe GRU ont été surpris en train de se servir de LoJack sur le micrologiciel des machines de victimes pour pouvoir les espionner. Des hackers parrainés par l'État chinois ont été repérés deux ans plus tard en train de réutiliser un logiciel espion basé sur un micrologiciel créé par la société de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe.
Les chercheurs d'Eclypsium ont été surpris de voir leurs analyses de détection automatisées signaler que le mécanisme de mise à jour de Gigabyte effectue certains des mêmes comportements louches que ces outils de piratage parrainés par l'État (notamment en se cachant dans le micrologiciel et en installant silencieusement un programme qui télécharge du code depuis Internet).
Envoyé par Eclypsium
Récemment, la plate-forme Eclypsium a commencé à détecter un comportement suspecté de type porte dérobée dans les systèmes Gigabyte dans la nature. Ces détections ont été pilotées par des méthodes de détection heuristiques, qui jouent un rôle important dans la détection de nouvelles menaces de chaîne d'approvisionnement jusque-là inconnues, où des produits ou des mises à jour technologiques tiers légitimes ont été compromis. Notre analyse de suivi a découvert que le micrologiciel des systèmes Gigabyte supprime et exécute un exécutable natif Windows pendant le processus de démarrage du système, et cet exécutable télécharge et exécute ensuite des charges utiles supplémentaires de manière non sécurisée. Il utilise les mêmes techniques que d'autres fonctionnalités de type porte dérobée OEM comme la porte dérobée Computrace (alias LoJack DoubleAgent) abusée par les acteurs malveillants et même les implants de micrologiciels tels que Sednit LoJax, MosaicRegressor, Vector-EDK. Une analyse ultérieure a montré que ce même code est présent dans des centaines de modèles de PC Gigabyte. Nous travaillons avec Gigabyte pour résoudre cette implémentation non sécurisée de leur capacité de centre d'applications.
Dans l'intérêt de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et stratégies défensives dans un délai plus rapide qu'une divulgation de vulnérabilité typique. Cette porte dérobée semble implémenter une fonctionnalité intentionnelle et nécessiterait une mise à jour du micrologiciel pour la supprimer complètement des systèmes concernés. Bien que notre enquête en cours n'ait pas confirmé l'exploitation par un acteur malveillant spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d'approvisionnement des organisations disposant de systèmes Gigabyte. À un niveau élevé, les vecteurs d'attaque pertinents comprennent*:
Dans l'intérêt de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et stratégies défensives dans un délai plus rapide qu'une divulgation de vulnérabilité typique. Cette porte dérobée semble implémenter une fonctionnalité intentionnelle et nécessiterait une mise à jour du micrologiciel pour la supprimer complètement des systèmes concernés. Bien que notre enquête en cours n'ait pas confirmé l'exploitation par un acteur malveillant spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d'approvisionnement des organisations disposant de systèmes Gigabyte. À un niveau élevé, les vecteurs d'attaque pertinents comprennent*:
- Compromission dans la chaîne d'approvisionnement
- Compromission dans l'environnement local
- Persistance des logiciels malveillants via la fonctionnalité de ce micrologiciel dans les systèmes
Quels sont les risques pour les utilisateurs ?
Les risques sont multiples. Tout d’abord, le programme d’actualisation télécharge le code sans vérification d’authenticité, ce qui signifie qu’il n’y a pas de garantie que le logiciel provienne bien de Gigabyte et non d’une source malveillante. De plus, dans certains cas, le téléchargement se fait via une connexion HTTP, qui n’est pas chiffrée, ce qui rend possibles des attaques de type “man-in-the-middle” sur des réseaux Wi-Fi non sécurisés. Un pirate pourrait ainsi se faire passer pour le serveur de Gigabyte et envoyer un logiciel malveillant au programme d’actualisation.
Ensuite, le programme d’actualisation s’exécute depuis le firmware, et non depuis le système d’exploitation, ce qui le rend difficile à détecter ou à supprimer par les utilisateurs ou les solutions de sécurité classiques, comme les antivirus ou les pare-feu. Le logiciel malveillant installé par le programme d’actualisation pourrait ainsi rester caché dans le firmware et s’activer à chaque démarrage de l’ordinateur, sans être remarqué.
Enfin, le logiciel malveillant installé dans le firmware pourrait avoir des conséquences graves sur la sécurité et la confidentialité des utilisateurs. Il pourrait par exemple espionner leurs activités, voler leurs données personnelles ou bancaires, endommager leurs fichiers ou leur matériel, ou encore prendre le contrôle à distance de leur ordinateur.
Dans d'autres cas, le programme de mise à jour installé par le mécanisme du micrologiciel de Gigabyte est configuré pour être téléchargé à partir d'un périphérique de stockage en réseau (NAS) local, une fonctionnalité qui semble être conçue pour que les réseaux d'entreprise administrent les mises à jour sans que toutes leurs machines soient connectées à Internet. Mais Eclypsium prévient que dans ces cas, un acteur malveillant sur le même réseau pourrait usurper l'emplacement du NAS pour installer de manière invisible son propre logiciel malveillant à la place.
Que faire pour se protéger ?
Eclypsium dit qu'il a travaillé avec Gigabyte pour divulguer ses conclusions au fabricant de la carte mère, et que Gigabyte a déclaré qu'il prévoyait de résoudre les problèmes.
Le correctif devrait passer par une mise à jour du firmware des cartes mères concernées, qui devra être diffusée à des millions d’utilisateurs potentiels. Gigabyte devra également trouver un meilleur moyen de délivrer des mises à jour de firmware sécurisées à ses clients.
En attendant, les utilisateurs peuvent vérifier si leur carte mère fait partie des modèles affectés en consultant la liste publiée par Eclypsium. Ils peuvent aussi identifier le modèle de leur carte mère en allant dans “Démarrer” puis “Informations système” sous Windows (comme indiqué plus haut).
S’ils sont concernés, ils doivent être vigilants sur les réseaux Wi-Fi auxquels ils se connectent et éviter ceux qui ne sont pas de confiance. Ils doivent aussi utiliser des solutions de sécurité qui peuvent détecter les anomalies dans le firmware.
Liste des modèles affectésSource : Eclypsium
Et vous ?
Que pensez-vous de la faille de sécurité découverte par Eclypsium ? Avez-vous vérifié si votre carte mère est concernée par le problème ? Quelles mesures avez-vous prises ou comptez-vous prendre pour vous protéger ? Faites-vous confiance à Gigabyte pour corriger la faille et vous fournir des mises à jour de firmware sécurisées ? Quelle est votre opinion sur le fait que Gigabyte ait installé un mécanisme caché dans le firmware de ses cartes mères ? 
