Sécurité IT : cet UEFI qui pose des soucis

RisquesSécurité
securite-uefi

Plusieurs chercheurs attirent l’attention sur une faille dans l’UEFI (BIOS nouvelle génération) de nombreux PC. Quel degré de gravité et quel responsable ?

Bug ou porte dérobée ? Dmytro Oleksiuk s’interroge.

Ce chercheur en sécurité a mis le doigt sur une faille qui pourrait toucher d’autant plus de PC qu’elle se trouve au niveau de l’UEFI, l’interface qui s’est progressivement substituée au BIOS ces dernières années pour faire le pont entre firmware et système d’exploitation.

La vulnérabilité en question a été découverte sur un ordinateur portable ThinkPad T450s de Lenovo. Elle permet d’exécuter, dans le System Mode Management (SMM ; mode d’exécution privilégiée sur les processeurs x86), du code arbitraire qui peut entraîner la désactivation de la protection en écriture du firmware.

Un tiers qui parviendrait à s’engouffrer dans la brèche pourrait notamment couper la fonction Secure Boot (vérification de l’authenticité du chargeur d’amorçage) et passer outre l’outil Credential Guard (dispositif de virtualisation sous Windows 10 pour éviter la fuite de données).

Habitué à mettre les mains dans le SMM, Dmytro Oleksiuk  – qui se fait connaître sous le pseudo Cr4sh – a fait part de sa découverte le 28 juin dernier. Il n’évoquait alors que les machines Lenovo, non sans exclure que d’autres marques soient affectées, surtout au regard de l’interdépendance du firmware et du SMM dans l’architecture actuelle des puces x86.

uefi-1

Premier concerné dans ce dossier, Lenovo a réagi le 30 juin. Regrettant qu’Oleksiuk « [n’ait] pas pris contact » avant de dévoiler la faille et de la baptiser « ThinkPwn », le groupe chinois assure que ses équipes ne sont pas à l’origine de la faille. Le problème viendrait d’en haut ; en l’occurrence, d’un des trois fournisseurs d’UEFI que Lenovo sollicite.

Ledit fournisseur (IBV, pour « Independent BIOS Vendor ») aurait réutilisé du code connu comme étant vulnérable, mais qu’Intel a corrigé en 2014, au niveau de la fonction SmmRuntimeManagementCallback()

Alex James, autre chercheur en sécurité, est allé plus loin. Grâce au logiciel Insyde EFI, il a déterminé que ThinkPwn touchait aussi un certain nombre de PC portables de marque HP.

Depuis lors, la liste s’allonge et touche au monde du desktop. Aux dernières nouvelles de ce mardi 5 juillet, plusieurs références de cartes mères Gigabyte sont concernées.

Crédit photo : bestfoto77 – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur