Le firmware des processeurs cryptographiques Infineon affecté par un bogue
Lenovo et Google publient des mises à jour pour leur matériel

On serait tenté de parler de Patch Tuesday puisqu’il s’agit d’une information dont le traditionnel bulletin de sécurité de Microsoft a fait état mardi dernier. Le firmware des processeurs cryptographiques du constructeur Infineon est affecté par un bogue qui met la sécurité des utilisateurs en danger, a prévenu la firme de Redmond. La vulnérabilité concerne en principe bon nombre de fabricants d’ordinateurs, mais à date, il semblerait que seuls Lenovo et Google se soient signalés.

La firme de Mountain View qui, à elle seule, liste une centaine de modèles de Chromebook affectés écrit : « un bogue affecte certaines versions du firmware des processeurs cryptographiques Infineon, ce qui rend les clés RSA générées par ces derniers vulnérables à des attaques. » « Il est important de noter qu’il s’agit d’une vulnérabilité au niveau du firmware [dudit constructeur] et non d’une vulnérabilité au niveau du système d’exploitation ou d’une application spécifique », écrit Microsoft.

D’après Lenovo, la sévérité de la vulnérabilité est variable ; cette situation peut être sans danger ou tout à fait l’opposé. L’équipe Chromium développe dans le même sens en soulignant que : « les exploits connus pour le moment nécessitent de disposer d’excellentes ressources de calcul c’est-à-dire que les clés RSA générées ne peuvent pas être cassées à grande échelle, mais des attaques ciblées sont possibles. » De façon brossée, sans application de correctifs, les ordinateurs sont vulnérables certes, mais pas à la portée de monsieur tout le monde. Par contre, si une agence comme la NSA en a après un parc informatique (d’intérêt) bondé de telles machines, elle peut déployer la puissance de calcul dont elle dispose et se servir.

Dans le cadre du Patch Tuesday, Microsoft a, via son bulletin de sécurité ADV1700012, annoncé la disponibilité de correctifs du système d’exploitation (Windows 10, Windows 8.1 et Windows Server 2012 & 2016) pour contourner la génération de clés RSA par le processeur cryptographique (dans le cas d’ordinateurs qui en sont dotés). Dès application du correctif Windows, des utilitaires de chiffrement de disque comme BitLocker utiliseront des clés générées par le système d’exploitation. Pour remédier au bogue qui affecte le processeur cryptographique, il faudra procéder à une mise à jour BIOS. Se référer à l’alerte sécurité Lenovo pour des détails sur les modèles affectés et la procédure à suivre.

Google de son côté propose aux possesseurs des Chromebooks affectés de passer à la version M61 de ChromeOS au minimum. D’après la firme de Mountain View, ces versions contiennent une mise à jour du firmware pour le processeur cryptographique.

Note finale : l’utilisation de mots de passe « forts » peut permettre aux possesseurs d’ordinateurs pour lesquels les constructeurs n’ont pas encore publié de mise à jour de mitiger d’éventuelles attaques.

Sources : Microsoft, blog Chromium, Lenovo

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Les firmwares propriétaires seraient le meilleur allié de la NSA, le patron de Canonical tire la sonnette d'alarme