Micrologiciel de porte dérobée trouvé sur des millions de cartes mères PC
Les cybercriminels ont de plus en plus recours à une tactique sournoise en dissimulant des programmes malveillants dans le micrologiciel UEFI d'un ordinateur, le code fondamental responsable du démarrage du système d'exploitation. Cependant, la situation devient encore plus alarmante lorsqu'un fabricant de cartes mères non seulement inclut sa porte dérobée cachée dans le micrologiciel de millions d'ordinateurs, mais ne parvient pas à sécuriser correctement cette entrée.
Récemment, une équipe de chercheurs en cybersécurité spécialisée dans les micrologiciels a découvert un mécanisme caché intégré dans le micrologiciel des cartes mères fabriquées par Gigabyte, une société taïwanaise renommée largement utilisée dans les PC de jeu et les ordinateurs hautes performances. Lors du redémarrage d'un ordinateur avec la carte mère Gigabyte concernée, le code caché dans le micrologiciel déclenche discrètement un programme de mise à jour sur l'ordinateur. Par la suite, ce programme télécharge et exécute un autre logiciel à l'insu de l'utilisateur ou sans son consentement.
Table des matières
Les intentions sont bonnes, la mise en œuvre pas tellement
Alors que le code caché découvert dans le micrologiciel de la carte mère Gigabyte était vraisemblablement conçu comme un outil inoffensif pour les mises à jour du micrologiciel, les chercheurs ont identifié des failles de sécurité importantes dans sa mise en œuvre. Ces vulnérabilités créent un risque potentiel d'acteurs malveillants exploitant le mécanisme, qui pourraient l'utiliser pour installer des logiciels malveillants au lieu du programme Gigabyte prévu.
Le problème est aggravé par le fait que le programme de mise à jour est lancé à partir du micrologiciel de l'ordinateur, fonctionnant en dehors du domaine du système d'exploitation de l'utilisateur. Il est donc extrêmement difficile pour les utilisateurs de détecter ou de supprimer le code problématique, ce qui aggrave encore l'impact potentiel de la vulnérabilité de sécurité.
Plus de 270 modèles impliqués
Pour voir si la carte mère de votre ordinateur contient la porte dérobée en question, accédez à "Démarrer" dans Windows et accédez à "Informations système".
En enquêtant sur le code malveillant basé sur le micrologiciel, les chercheurs ont fait une découverte importante concernant le mécanisme de micrologiciel caché de Gigabyte. Cette découverte est particulièrement remarquable car les pirates informatiques sophistiqués utilisent fréquemment des tactiques similaires. Étonnamment, les analyses de détection automatisées des chercheurs ont signalé le mécanisme de mise à jour de Gigabyte pour s'être engagé dans des activités suspectes rappelant les outils de piratage parrainés par l'État. Plus précisément, cela impliquait de se cacher dans le micrologiciel et d'exécuter silencieusement un programme qui télécharge du code depuis Internet.
Le mécanisme de mise à jour de Gigabyte à lui seul a suscité des inquiétudes parmi les utilisateurs qui craignent la perspective d'installations de code silencieuses via un outil presque imperceptible. En outre, il existe une véritable crainte que le mécanisme de Gigabyte ne soit victime d'une exploitation par des pirates qui infiltrent le fabricant de la carte mère, tirant parti de son accès caché pour une attaque néfaste de la chaîne d'approvisionnement logicielle. Cependant, l'enquête d'Eclypsium a mis au jour une révélation encore plus alarmante. Le mécanisme de mise à jour, conçu pour améliorer l'expérience utilisateur, contient des vulnérabilités flagrantes susceptibles d'être détournées de manière malveillante. Étonnamment, il télécharge du code sur la machine de l'utilisateur sans subir d'authentification appropriée et, dans certains cas, il utilise même une connexion HTTP non sécurisée au lieu du HTTPS plus sécurisé.
Cette faille de sécurité béante permet à des acteurs malveillants d'orchestrer des attaques de l'homme du milieu, ce qui leur permet de tromper les utilisateurs sans méfiance en usurpant la source de l'installation. Essentiellement, même un réseau Wi-Fi malveillant pourrait devenir un instrument de danger, interceptant la connexion Internet de l'utilisateur et compromettant l'intégrité de son système.
Dans d'autres cas, le mécanisme du micrologiciel de Gigabyte permet au programme de mise à jour de récupérer des téléchargements à partir d'un périphérique de stockage en réseau (NAS) local. Cette fonctionnalité, apparemment destinée à faciliter les mises à jour au sein des réseaux d'entreprise, évite un accès Internet étendu par toutes les machines. Cependant, lorsque cela se produit, un acteur malveillant sur le même réseau peut manipuler de manière trompeuse l'emplacement du NAS, remplaçant subrepticement les mises à jour autorisées par son propre logiciel malveillant.
Un correctif pourrait fonctionner... ou pas ?
Malgré les efforts potentiels de Gigabyte pour résoudre le problème du micrologiciel, les mises à jour du micrologiciel se terminent fréquemment de manière silencieuse sur les machines des utilisateurs en raison de la nature complexe du processus et de la difficulté d'aligner le micrologiciel avec le matériel. Cette révélation est profondément préoccupante, compte tenu du grand nombre d'appareils qui pourraient être concernés. Alors que Gigabyte n'avait probablement aucune intention malveillante ou trompeuse avec son outil de micrologiciel caché, les vulnérabilités de sécurité dans le code caché sous le système d'exploitation minent la confiance fondamentale des utilisateurs dans leurs machines.