Certains articles de veille peuvent faire l'objet de traduction automatique.
Masquer les programmes malveillants dans le micrologiciel UEFI d’un ordinateur, le code profond qui indique à un PC comment charger son système d’exploitation est devenu une astuce insidieuse dans la boîte à outils des pirates furtifs. Mais lorsqu’un fabricant de cartes mères installe sa propre porte dérobée cachée dans le micrologiciel de millions d’ordinateurs – et ne met même pas un verrou approprié sur cette entrée arrière cachée – ils font pratiquement le travail des pirates pour eux.
Des chercheurs de la société de cybersécurité spécialisée dans les micrologiciels Eclypsium ont révélé aujourd’hui qu’ils avaient découvert un mécanisme caché dans le micrologiciel des cartes mères vendues par le fabricant taïwanais Gigabyte, dont les composants sont couramment utilisés dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu’un ordinateur avec la carte mère Gigabyte concernée redémarre, Eclypsium a découvert que le code du micrologiciel de la carte mère lance de manière invisible un programme de mise à jour qui s’exécute sur l’ordinateur et télécharge et exécute à son tour un autre logiciel.
Alors qu’Eclypsium affirme que le code caché est censé être un outil inoffensif pour maintenir à jour le micrologiciel de la carte mère, les chercheurs ont découvert qu’il était implémenté de manière non sécurisée, permettant potentiellement au mécanisme d’être détourné et utilisé pour installer des logiciels malveillants au lieu du programme prévu par Gigabyte. Et parce que le programme de mise à jour est déclenché à partir du micrologiciel de l’ordinateur, en dehors de son système d’exploitation, il est difficile pour les utilisateurs de le supprimer ou même de le découvrir.
« Si vous avez l’une de ces machines, vous devez vous inquiéter du fait qu’elle récupère quelque chose sur Internet et l’exécute sans que vous soyez impliqué, et qu’elle n’ait rien fait de tout cela en toute sécurité », déclare John Loucaides, qui dirige la stratégie. et la recherche à Eclypsium. « Le concept de passer sous l’utilisateur final et de prendre en charge sa machine ne convient pas à la plupart des gens. »
Dans son article de blog sur la recherche, Eclypsium répertorie 271 modèles de cartes mères Gigabyte qui, selon les chercheurs, sont concernés. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mère leur ordinateur utilise peuvent vérifier en allant sur « Démarrer » dans Windows, puis sur « Informations système ».
Eclypsium dit avoir trouvé le mécanisme de micrologiciel caché de Gigabyte tout en parcourant les ordinateurs des clients à la recherche de code malveillant basé sur le micrologiciel, un outil de plus en plus courant utilisé par des pirates sophistiqués. En 2018, par exemple, des pirates informatiques travaillant pour le compte de l’agence de renseignement militaire russe GRU ont été découverts installant silencieusement le logiciel antivol LoJack basé sur un micrologiciel sur les machines des victimes comme tactique d’espionnage. Des pirates informatiques parrainés par l’État chinois ont été repérés deux ans plus tard en train de réutiliser un logiciel espion basé sur un micrologiciel créé par la société de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe. Les chercheurs d’Eclypsium ont été surpris de voir leurs analyses de détection automatisées signaler le mécanisme de mise à jour de Gigabyte pour effectuer certains des mêmes comportements louches que ces outils de piratage parrainés par l’État : se cacher dans le micrologiciel et installer silencieusement un programme qui télécharge du code depuis Internet.
Le programme de mise à jour de Gigabyte à lui seul pourrait avoir soulevé des inquiétudes pour les utilisateurs qui ne font pas confiance à Gigabyte pour installer silencieusement du code sur leur machine avec un outil presque invisible, ou qui craignent que le mécanisme de Gigabyte puisse être exploité par des pirates qui compromettent le fabricant de la carte mère pour exploiter son accès caché dans une attaque de la chaîne d’approvisionnement logicielle. Mais Eclypsium a également découvert que le mécanisme de mise à jour était implémenté avec des vulnérabilités flagrantes qui pourraient lui permettre d’être piraté : il télécharge du code sur la machine de l’utilisateur sans l’authentifier correctement, parfois même via une connexion HTTP non protégée, plutôt que HTTPS. Cela permettrait à la source d’installation d’être usurpée par une attaque de type « man-in-the-middle » menée par quiconque peut intercepter la connexion Internet de l’utilisateur, comme un réseau Wi-Fi non autorisé.
Poster un commentaire