Un fabricant de cartes mères a installé une porte dérobée dans le micrologiciel de millions d'ordinateurs sans même avoir un verrou approprié sur cette entrée. Ce mécanisme dans le firmware des cartes mères Gigabyte pourrait permettre à des pirates d’installer des logiciels malveillants sur des millions d’ordinateurs.Le firmware est le code qui contrôle le fonctionnement des composants matériels d’un ordinateur, comme la carte mère, le disque dur ou le processeur. Il est stocké dans une mémoire non volatile, c’est-à-dire qui conserve les données même lorsque l’ordinateur est éteint. Le firmware est essentiel pour démarrer l’ordinateur et charger le système d’exploitation, comme Windows ou Linux. Il peut aussi offrir des fonctionnalités supplémentaires, comme la mise à jour automatique ou la protection contre le vol.
Mercredi, des chercheurs de la société de cybersécurité spécialisée dans les micrologiciels Eclypsium ont révélé qu'ils avaient découvert un mécanisme caché dans le micrologiciel des cartes mères vendues par le fabricant taïwanais Gigabyte, dont les composants sont couramment utilisés dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu'un ordinateur avec la carte mère Gigabyte concernée redémarre, Eclypsium a découvert que le code du micrologiciel de la carte mère lance de manière invisible un programme de mise à jour qui s'exécute sur l'ordinateur et télécharge et exécute à son tour un autre logiciel.
Alors qu'Eclypsium affirme que le code caché est censé être un outil inoffensif pour maintenir à jour le micrologiciel de la carte mère, les chercheurs ont découvert qu'il était implémenté de manière non sécurisée, permettant potentiellement au mécanisme d'être détourné et utilisé pour installer des logiciels malveillants au lieu du programme prévu par Gigabyte. Et comme le programme de mise à jour est déclenché à partir du micrologiciel de l'ordinateur, en dehors de son système d'exploitation, il est difficile pour les utilisateurs de le supprimer ou même de le découvrir.
« Si vous avez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur Internet et l'exécute sans que vous soyez impliqué, et qu'elle n'ait rien fait de tout cela en toute sécurité », déclare John Loucaides, qui dirige la stratégie et la recherche à Eclypsium. « Le concept de passer outre l'utilisateur final et de prendre en charge sa machine ne convient pas à la plupart des gens ».
Comment Eclypsium a découvert ce mécanisme et ses failles
Dans un billet de blog donnant des détails sur les résultats de la recherche, Eclypsium répertorie 271 modèles de cartes mères Gigabyte qui, selon les chercheurs, sont concernés. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mère leur ordinateur utilise peuvent vérifier en allant sur "Démarrer" dans Windows, puis sur "Informations système".
Eclypsium dit avoir trouvé le mécanisme de micrologiciel caché de Gigabyte tandis qu'il parcourait les ordinateurs des clients à la recherche de code malveillant basé sur le micrologiciel, un vecteur de plus en plus courant utilisé par des pirates. En 2018, par exemple, des hackers travaillant pour le compte de l'agence de renseignement militaire russe GRU ont été surpris en train de se servir de LoJack sur le micrologiciel des machines de victimes pour pouvoir les espionner. Des hackers parrainés par l'État chinois ont été repérés deux ans plus tard en train de réutiliser un logiciel espion basé sur un micrologiciel créé par la société de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe.
Les chercheurs d'Eclypsium ont été surpris de voir leurs analyses de détection automatisées signaler que le mécanisme de mise à jour de Gigabyte effectue certains des mêmes comportements louches que ces outils de piratage parrainés par l'État (notamment en se cachant dans le micrologiciel et en installant silencieusement un programme qui télécharge du...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
