IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Gigabyte : une porte dérobée dans le firmware de millions de cartes mères les expose

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 383
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 383
    Points : 196 422
    Points
    196 422
    Par défaut Gigabyte : une porte dérobée dans le firmware de millions de cartes mères les expose
    Gigabyte : des millions de cartes mères PC ont été vendues avec une porte dérobée dans le micrologiciel,
    un mécanisme qui met en danger la sécurité des données des utilisateurs

    Un fabricant de cartes mères a installé une porte dérobée dans le micrologiciel de millions d'ordinateurs sans même avoir un verrou approprié sur cette entrée. Ce mécanisme dans le firmware des cartes mères Gigabyte pourrait permettre à des pirates d’installer des logiciels malveillants sur des millions d’ordinateurs.

    Le firmware est le code qui contrôle le fonctionnement des composants matériels d’un ordinateur, comme la carte mère, le disque dur ou le processeur. Il est stocké dans une mémoire non volatile, c’est-à-dire qui conserve les données même lorsque l’ordinateur est éteint. Le firmware est essentiel pour démarrer l’ordinateur et charger le système d’exploitation, comme Windows ou Linux. Il peut aussi offrir des fonctionnalités supplémentaires, comme la mise à jour automatique ou la protection contre le vol.

    Mercredi, des chercheurs de la société de cybersécurité spécialisée dans les micrologiciels Eclypsium ont révélé qu'ils avaient découvert un mécanisme caché dans le micrologiciel des cartes mères vendues par le fabricant taïwanais Gigabyte, dont les composants sont couramment utilisés dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu'un ordinateur avec la carte mère Gigabyte concernée redémarre, Eclypsium a découvert que le code du micrologiciel de la carte mère lance de manière invisible un programme de mise à jour qui s'exécute sur l'ordinateur et télécharge et exécute à son tour un autre logiciel.

    Alors qu'Eclypsium affirme que le code caché est censé être un outil inoffensif pour maintenir à jour le micrologiciel de la carte mère, les chercheurs ont découvert qu'il était implémenté de manière non sécurisée, permettant potentiellement au mécanisme d'être détourné et utilisé pour installer des logiciels malveillants au lieu du programme prévu par Gigabyte. Et comme le programme de mise à jour est déclenché à partir du micrologiciel de l'ordinateur, en dehors de son système d'exploitation, il est difficile pour les utilisateurs de le supprimer ou même de le découvrir.

    « Si vous avez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur Internet et l'exécute sans que vous soyez impliqué, et qu'elle n'ait rien fait de tout cela en toute sécurité », déclare John Loucaides, qui dirige la stratégie et la recherche à Eclypsium. « Le concept de passer outre l'utilisateur final et de prendre en charge sa machine ne convient pas à la plupart des gens ».

    Comment Eclypsium a découvert ce mécanisme et ses failles

    Dans un billet de blog donnant des détails sur les résultats de la recherche, Eclypsium répertorie 271 modèles de cartes mères Gigabyte qui, selon les chercheurs, sont concernés. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mère leur ordinateur utilise peuvent vérifier en allant sur "Démarrer" dans Windows, puis sur "Informations système".

    Eclypsium dit avoir trouvé le mécanisme de micrologiciel caché de Gigabyte tandis qu'il parcourait les ordinateurs des clients à la recherche de code malveillant basé sur le micrologiciel, un vecteur de plus en plus courant utilisé par des pirates. En 2018, par exemple, des hackers travaillant pour le compte de l'agence de renseignement militaire russe GRU ont été surpris en train de se servir de LoJack sur le micrologiciel des machines de victimes pour pouvoir les espionner. Des hackers parrainés par l'État chinois ont été repérés deux ans plus tard en train de réutiliser un logiciel espion basé sur un micrologiciel créé par la société de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe.

    Les chercheurs d'Eclypsium ont été surpris de voir leurs analyses de détection automatisées signaler que le mécanisme de mise à jour de Gigabyte effectue certains des mêmes comportements louches que ces outils de piratage parrainés par l'État (notamment en se cachant dans le micrologiciel et en installant silencieusement un programme qui télécharge du code depuis Internet).

    Citation Envoyé par Eclypsium
    Récemment, la plate-forme Eclypsium a commencé à détecter un comportement suspecté de type porte dérobée dans les systèmes Gigabyte dans la nature. Ces détections ont été pilotées par des méthodes de détection heuristiques, qui jouent un rôle important dans la détection de nouvelles menaces de chaîne d'approvisionnement jusque-là inconnues, où des produits ou des mises à jour technologiques tiers légitimes ont été compromis. Notre analyse de suivi a découvert que le micrologiciel des systèmes Gigabyte supprime et exécute un exécutable natif Windows pendant le processus de démarrage du système, et cet exécutable télécharge et exécute ensuite des charges utiles supplémentaires de manière non sécurisée. Il utilise les mêmes techniques que d'autres fonctionnalités de type porte dérobée OEM comme la porte dérobée Computrace (alias LoJack DoubleAgent) abusée par les acteurs malveillants et même les implants de micrologiciels tels que Sednit LoJax, MosaicRegressor, Vector-EDK. Une analyse ultérieure a montré que ce même code est présent dans des centaines de modèles de PC Gigabyte. Nous travaillons avec Gigabyte pour résoudre cette implémentation non sécurisée de leur capacité de centre d'applications.

    Dans l'intérêt de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et stratégies défensives dans un délai plus rapide qu'une divulgation de vulnérabilité typique. Cette porte dérobée semble implémenter une fonctionnalité intentionnelle et nécessiterait une mise à jour du micrologiciel pour la supprimer complètement des systèmes concernés. Bien que notre enquête en cours n'ait pas confirmé l'exploitation par un acteur malveillant spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d'approvisionnement des organisations disposant de systèmes Gigabyte. À un niveau élevé, les vecteurs d'attaque pertinents comprennent*:
    • Compromission dans la chaîne d'approvisionnement
    • Compromission dans l'environnement local
    • Persistance des logiciels malveillants via la fonctionnalité de ce micrologiciel dans les systèmes
    Nom : gyga.png
Affichages : 31146
Taille : 24,1 Ko

    Quels sont les risques pour les utilisateurs ?

    Les risques sont multiples. Tout d’abord, le programme d’actualisation télécharge le code sans vérification d’authenticité, ce qui signifie qu’il n’y a pas de garantie que le logiciel provienne bien de Gigabyte et non d’une source malveillante. De plus, dans certains cas, le téléchargement se fait via une connexion HTTP, qui n’est pas chiffrée, ce qui rend possibles des attaques de type “man-in-the-middle” sur des réseaux Wi-Fi non sécurisés. Un pirate pourrait ainsi se faire passer pour le serveur de Gigabyte et envoyer un logiciel malveillant au programme d’actualisation.

    Ensuite, le programme d’actualisation s’exécute depuis le firmware, et non depuis le système d’exploitation, ce qui le rend difficile à détecter ou à supprimer par les utilisateurs ou les solutions de sécurité classiques, comme les antivirus ou les pare-feu. Le logiciel malveillant installé par le programme d’actualisation pourrait ainsi rester caché dans le firmware et s’activer à chaque démarrage de l’ordinateur, sans être remarqué.

    Enfin, le logiciel malveillant installé dans le firmware pourrait avoir des conséquences graves sur la sécurité et la confidentialité des utilisateurs. Il pourrait par exemple espionner leurs activités, voler leurs données personnelles ou bancaires, endommager leurs fichiers ou leur matériel, ou encore prendre le contrôle à distance de leur ordinateur.

    Dans d'autres cas, le programme de mise à jour installé par le mécanisme du micrologiciel de Gigabyte est configuré pour être téléchargé à partir d'un périphérique de stockage en réseau (NAS) local, une fonctionnalité qui semble être conçue pour que les réseaux d'entreprise administrent les mises à jour sans que toutes leurs machines soient connectées à Internet. Mais Eclypsium prévient que dans ces cas, un acteur malveillant sur le même réseau pourrait usurper l'emplacement du NAS pour installer de manière invisible son propre logiciel malveillant à la place.

    Que faire pour se protéger ?

    Eclypsium dit qu'il a travaillé avec Gigabyte pour divulguer ses conclusions au fabricant de la carte mère, et que Gigabyte a déclaré qu'il prévoyait de résoudre les problèmes.

    Le correctif devrait passer par une mise à jour du firmware des cartes mères concernées, qui devra être diffusée à des millions d’utilisateurs potentiels. Gigabyte devra également trouver un meilleur moyen de délivrer des mises à jour de firmware sécurisées à ses clients.

    En attendant, les utilisateurs peuvent vérifier si leur carte mère fait partie des modèles affectés en consultant la liste publiée par Eclypsium. Ils peuvent aussi identifier le modèle de leur carte mère en allant dans “Démarrer” puis “Informations système” sous Windows (comme indiqué plus haut).

    S’ils sont concernés, ils doivent être vigilants sur les réseaux Wi-Fi auxquels ils se connectent et éviter ceux qui ne sont pas de confiance. Ils doivent aussi utiliser des solutions de sécurité qui peuvent détecter les anomalies dans le firmware.

    Liste des modèles affectés

    Source : Eclypsium

    Et vous ?

    Que pensez-vous de la faille de sécurité découverte par Eclypsium ?
    Avez-vous vérifié si votre carte mère est concernée par le problème ?
    Quelles mesures avez-vous prises ou comptez-vous prendre pour vous protéger ?
    Faites-vous confiance à Gigabyte pour corriger la faille et vous fournir des mises à jour de firmware sécurisées ?
    Quelle est votre opinion sur le fait que Gigabyte ait installé un mécanisme caché dans le firmware de ses cartes mères ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Août 2018
    Messages
    354
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : Autre

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Août 2018
    Messages : 354
    Points : 1 060
    Points
    1 060
    Par défaut
    Ca devient une mode ;-(

    Lenovo à fait pareil il y a peu...

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    Je pense qu'ils le font tous et ça inclut les smartphones

  4. #4
    Membre extrêmement actif
    Avatar de Madmac
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2004
    Messages
    1 685
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Alimentation

    Informations forums :
    Inscription : Juin 2004
    Messages : 1 685
    Points : 1 376
    Points
    1 376
    Billets dans le blog
    7
    Par défaut
    Sachant qu’il y a une porte dérobée dans les CPU d'Intel. Une de plus ou une de moins ne fait plus une grosse différence.

  5. #5
    Membre régulier
    Homme Profil pro
    Développeur Back-End
    Inscrit en
    Août 2021
    Messages
    38
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Back-End
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2021
    Messages : 38
    Points : 84
    Points
    84
    Par défaut
    Qui sont les clients de Gigabyte ?
    Depuis combien de temps suis je la braguette ouverte
    c'est du sérieux tous ça

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    Août 2006
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2006
    Messages : 75
    Points : 115
    Points
    115
    Par défaut
    le pire ce n'est pas de mettre une porte dérobé... c'est d'y mettre une clé en carton...
    En plus, y a personne qui verifie les requetes HTTP sur ces infra ?
    nan parce que de nos jours y a vraiment plus de raison... faudrait meme bloquer de base le port 80.

  7. #7
    Expert confirmé
    Avatar de shenron666
    Homme Profil pro
    avancé
    Inscrit en
    Avril 2005
    Messages
    2 519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : avancé

    Informations forums :
    Inscription : Avril 2005
    Messages : 2 519
    Points : 5 168
    Points
    5 168
    Par défaut
    Je me permet de préciser que par "firmware" il est bien question du BIOS UEFI de la carte mère.

    Je conseille fortement au possesseurs de carte mère Gigabyte d'aller sur la source Eclypsium indiquée dans l'article car à l'instant où je commente le nombre de modèles concernés est passé de 271 à 406.
    Une liste des modèles au format pdf y est disponible.
    Je ne met pas les liens car en cas d'évolution ils deviendraient obsolètes.

    De plus, Eclypsium fourni sur un repo Github un script powershell pour déterminer si oui ou non un système est impacté :
    https://github.com/eclypsium/Gigabyte
    Tutoriels OpenGL
    Je ne répondrai à aucune question en MP
    - Si c'est simple tu dis que c'est compliqué et tu le fait
    - Si c'est compliqué tu dis que c'est simple et tu le sous-traite ou le fait faire par un stagiaire.

Discussions similaires

  1. Réponses: 7
    Dernier message: 03/08/2019, 16h33
  2. Réponses: 5
    Dernier message: 11/04/2019, 01h38
  3. Réponses: 1
    Dernier message: 27/11/2018, 12h48
  4. Réponses: 1
    Dernier message: 17/01/2018, 08h41
  5. Réponses: 10
    Dernier message: 11/01/2018, 03h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo