Des centaines de modèles de cartes mères Gigabyte livrés avec une porte dérobée du micrologiciel
Des chercheurs de la société de cybersécurité Eclypsium ont découvert un mécanisme secret intégré dans le micrologiciel des cartes mères Gigabyte, qui sont couramment utilisées dans les PC de jeu et les ordinateurs hautes performances. Lorsqu'un ordinateur avec la carte mère concernée redémarre, ce code caché déclenche un programme de mise à jour dans le micrologiciel. Par la suite, le programme télécharge et exécute un logiciel supplémentaire sur l'ordinateur.
Alors que Gigabyte voulait que ce code caché serve d'outil bénin pour les mises à jour du micrologiciel, Eclypsium a découvert qu'il était implémenté de manière non sécurisée. Cela crée une vulnérabilité potentielle qui pourrait être exploitée par des attaquants pour installer des logiciels malveillants au lieu du logiciel prévu par Gigabyte. Le fait que le programme de mise à jour soit lancé à partir du micrologiciel de l'ordinateur, en dehors du système d'exploitation, le rend difficile à détecter ou à supprimer pour les utilisateurs.
John Loucaides, responsable de la stratégie et de la recherche chez Eclypsium, souligne la préoccupation que les utilisateurs devraient avoir concernant ce comportement, car leurs machines récupèrent et exécutent sans le savoir du code à partir d'Internet sans mesures de sécurité appropriées. Il souligne que l'idée d'un processus sous-jacent prenant le contrôle de la machine d'un utilisateur sans son implication est troublante pour la plupart des gens.
Des centaines de modèles de cartes mères concernés
Dans son article de blog, Eclypsium fournit une liste de 271 modèles de cartes mères Gigabyte qui seraient concernés. Loucaides suggère aux utilisateurs de vérifier quelle carte mère leur ordinateur utilise en accédant au menu "Démarrer" de Windows et en naviguant jusqu'à "Informations système".
La seule présence du programme de mise à jour de Gigabyte pourrait inquiéter les utilisateurs qui craignent que le code ne soit installé silencieusement sur leurs machines par le fabricant, en particulier compte tenu du point d'accès caché qu'il fournit dans la chaîne d'approvisionnement des logiciels. Cependant, les recherches d'Eclypsium révèlent que le mécanisme de mise à jour lui-même présente des vulnérabilités importantes. Il télécharge le code sur la machine de l'utilisateur sans authentification appropriée, parfois via des connexions HTTP non sécurisées au lieu de HTTPS. Cela permet à la source d'installation d'être usurpée par une attaque de type "man-in-the-middle", telle que l'interception de la connexion Internet de l'utilisateur via un réseau Wi-Fi non autorisé.
Dans certains cas, le programme de mise à jour installé par le mécanisme du micrologiciel de Gigabyte est configuré pour être téléchargé à partir d'un périphérique de stockage en réseau local (NAS), une fonctionnalité principalement conçue pour les entreprises afin d'administrer les mises à jour de manière centralisée sans dépendre des connexions Internet pour chaque machine. Cependant, Eclypsium avertit que des acteurs malveillants sur le même réseau pourraient manipuler l'emplacement du NAS pour installer subrepticement leur propre logiciel malveillant.
Impact potentiel du problème
La découverte d'Eclypsium est troublante en raison de l'impact potentiel sur des millions d'appareils. Rich Smith, directeur de la sécurité de la startup de cybersécurité axée sur la chaîne d'approvisionnement Crash Override, trouve que la situation rappelle le scandale des rootkits Sony du milieu des années 2000. Dans ce cas, Sony a caché le code de gestion des droits numériques sur des CD, qui s'est secrètement installé sur les ordinateurs des utilisateurs et a créé une vulnérabilité que les pirates ont exploitée pour dissimuler leurs logiciels malveillants. Smith établit un parallèle, déclarant que si les techniques utilisées par les acteurs malveillants peuvent avoir été adoptées par Gigabyte, elles franchissent une ligne similaire dans le domaine du micrologiciel.