Des millions de cartes mères Gigabyte ont été vendues avec une porte dérobée du micrologiciel

Dec 14, 2023

Andy Greenberg

Cacher des programmes malveillants dans le micrologiciel UEFI d'un ordinateur, le code profond qui indique à un PC comment charger son système d'exploitation, est devenu une astuce insidieuse dans la boîte à outils des pirates furtifs. Mais lorsqu'un fabricant de cartes mères installe sa propre porte dérobée cachée dans le micrologiciel de millions d'ordinateurs - et ne met même pas un verrou approprié sur cette entrée arrière cachée - ils font pratiquement le travail des pirates pour eux.

Des chercheurs de la société de cybersécurité spécialisée dans les micrologiciels Eclypsium ont révélé aujourd'hui qu'ils avaient découvert un mécanisme caché dans le micrologiciel des cartes mères vendues par le fabricant taïwanais Gigabyte, dont les composants sont couramment utilisés dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu'un ordinateur avec la carte mère Gigabyte concernée redémarre, Eclypsium a découvert que le code du micrologiciel de la carte mère lance de manière invisible un programme de mise à jour qui s'exécute sur l'ordinateur et télécharge et exécute à son tour un autre logiciel.

Alors qu'Eclypsium affirme que le code caché est censé être un outil inoffensif pour maintenir à jour le micrologiciel de la carte mère, les chercheurs ont découvert qu'il était implémenté de manière non sécurisée, permettant potentiellement au mécanisme d'être détourné et utilisé pour installer des logiciels malveillants au lieu du programme prévu par Gigabyte. Et parce que le programme de mise à jour est déclenché à partir du micrologiciel de l'ordinateur, en dehors de son système d'exploitation, il est difficile pour les utilisateurs de le supprimer ou même de le découvrir.

"Si vous avez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur Internet et l'exécute sans que vous soyez impliqué, et qu'elle n'ait rien fait de tout cela en toute sécurité", déclare John Loucaides, qui dirige la stratégie et la recherche chez Eclypsium. "Le concept de passer sous l'utilisateur final et de prendre en charge sa machine ne convient pas à la plupart des gens."

Dans son article de blog sur la recherche, Eclypsium répertorie 271 modèles de cartes mères Gigabyte qui, selon les chercheurs, sont concernés. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mère leur ordinateur utilise peuvent vérifier en allant dans "Démarrer" dans Windows, puis dans "Informations système".

Eclypsium dit avoir trouvé le mécanisme de micrologiciel caché de Gigabyte tout en parcourant les ordinateurs des clients à la recherche de code malveillant basé sur le micrologiciel, un outil de plus en plus courant utilisé par des pirates sophistiqués. En 2018, par exemple, des pirates informatiques travaillant pour le compte de l'agence de renseignement militaire russe GRU ont été découverts installant silencieusement le logiciel antivol LoJack basé sur un micrologiciel sur les machines des victimes comme tactique d'espionnage. Des pirates informatiques parrainés par l'État chinois ont été repérés deux ans plus tard en train de réutiliser un logiciel espion basé sur un micrologiciel créé par la société de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe. Les chercheurs d'Eclypsium ont été surpris de voir leurs analyses de détection automatisées signaler le mécanisme de mise à jour de Gigabyte pour effectuer certains des mêmes comportements louches que ces outils de piratage parrainés par l'État - se cachant dans le micrologiciel et installant silencieusement un programme qui télécharge du code depuis Internet.

Lauren Goode

Personnel filaire

Brenda Stolyar

Chevalier

Le programme de mise à jour de Gigabyte à lui seul aurait pu susciter des inquiétudes chez les utilisateurs qui ne font pas confiance à Gigabyte pour installer silencieusement du code sur leur machine avec un outil presque invisible, ou qui craignent que le mécanisme de Gigabyte ne soit exploité par des pirates qui compromettent le fabricant de la carte mère pour exploiter son accès caché dans une attaque de la chaîne d'approvisionnement logicielle. Mais Eclypsium a également découvert que le mécanisme de mise à jour était implémenté avec des vulnérabilités flagrantes qui pourraient lui permettre d'être piraté : il télécharge du code sur la machine de l'utilisateur sans l'authentifier correctement, parfois même via une connexion HTTP non protégée, plutôt que HTTPS. Cela permettrait à la source d'installation d'être usurpée par une attaque de type "man-in-the-middle" menée par quiconque peut intercepter la connexion Internet de l'utilisateur, comme un réseau Wi-Fi non autorisé.

Dans d'autres cas, le programme de mise à jour installé par le mécanisme du micrologiciel de Gigabyte est configuré pour être téléchargé à partir d'un périphérique de stockage en réseau local (NAS), une fonctionnalité qui semble être conçue pour que les réseaux d'entreprise administrent les mises à jour sans que toutes leurs machines ne se connectent à Internet. Mais Eclypsium prévient que dans ces cas, un acteur malveillant sur le même réseau pourrait usurper l'emplacement du NAS pour installer de manière invisible son propre logiciel malveillant à la place.

Eclypsium dit qu'il a travaillé avec Gigabyte pour divulguer ses conclusions au fabricant de la carte mère, et que Gigabyte a déclaré qu'il prévoyait de résoudre les problèmes. Gigabyte n'a pas répondu aux multiples demandes de commentaires de WIRED concernant les conclusions d'Eclypsium.

Même si Gigabyte propose un correctif pour son problème de micrologiciel - après tout, le problème provient d'un outil Gigabyte destiné à automatiser les mises à jour du micrologiciel - Loucaides d'Eclypsium souligne que les mises à jour du micrologiciel s'interrompent souvent silencieusement sur les machines des utilisateurs, dans de nombreux cas en raison de leur complexité et de la difficulté à faire correspondre le micrologiciel et le matériel. "Je pense toujours que cela finira par être un problème assez répandu sur les cartes Gigabyte pour les années à venir", déclare Loucaides.

Compte tenu des millions d'appareils potentiellement concernés, la découverte d'Eclypsium est "troublante", déclare Rich Smith, qui est le directeur de la sécurité de la startup de cybersécurité axée sur la chaîne d'approvisionnement Crash Override. Smith a publié des recherches sur les vulnérabilités des micrologiciels et a examiné les conclusions d'Eclypsium. Il compare la situation au scandale des rootkits Sony du milieu des années 2000. Sony avait caché le code de gestion des droits numériques sur des CD qui s'installait de manière invisible sur les ordinateurs des utilisateurs et, ce faisant, créait une vulnérabilité que les pirates utilisaient pour cacher leurs logiciels malveillants. "Vous pouvez utiliser des techniques qui ont traditionnellement été utilisées par des acteurs malveillants, mais ce n'était pas acceptable, cela a dépassé les limites", déclare Smith. "Je ne peux pas expliquer pourquoi Gigabyte a choisi cette méthode pour fournir son logiciel. Mais pour moi, cela semble franchir une ligne similaire dans l'espace du micrologiciel."

Smith reconnaît que Gigabyte n'avait probablement aucune intention malveillante ou trompeuse dans son outil de micrologiciel caché. Mais en laissant des vulnérabilités de sécurité dans le code invisible qui se cache sous le système d'exploitation de tant d'ordinateurs, cela érode néanmoins une couche fondamentale de confiance que les utilisateurs ont dans leurs machines. "Il n'y a aucune intention ici, juste du bâclé. Mais je ne veux pas que quelqu'un écrive mon firmware qui soit bâclé", déclare Smith. "Si vous ne faites pas confiance à votre micrologiciel, vous construisez votre maison sur du sable."