Pour gérer vos consentements :
Categories: RisquesSécurité

Sécurité IT : cet UEFI qui pose des soucis

Bug ou porte dérobée ? Dmytro Oleksiuk s’interroge.

Ce chercheur en sécurité a mis le doigt sur une faille qui pourrait toucher d’autant plus de PC qu’elle se trouve au niveau de l’UEFI, l’interface qui s’est progressivement substituée au BIOS ces dernières années pour faire le pont entre firmware et système d’exploitation.

La vulnérabilité en question a été découverte sur un ordinateur portable ThinkPad T450s de Lenovo. Elle permet d’exécuter, dans le System Mode Management (SMM ; mode d’exécution privilégiée sur les processeurs x86), du code arbitraire qui peut entraîner la désactivation de la protection en écriture du firmware.

Un tiers qui parviendrait à s’engouffrer dans la brèche pourrait notamment couper la fonction Secure Boot (vérification de l’authenticité du chargeur d’amorçage) et passer outre l’outil Credential Guard (dispositif de virtualisation sous Windows 10 pour éviter la fuite de données).

Habitué à mettre les mains dans le SMM, Dmytro Oleksiuk – qui se fait connaître sous le pseudo Cr4sh – a fait part de sa découverte le 28 juin dernier. Il n’évoquait alors que les machines Lenovo, non sans exclure que d’autres marques soient affectées, surtout au regard de l’interdépendance du firmware et du SMM dans l’architecture actuelle des puces x86.

Premier concerné dans ce dossier, Lenovo a réagi le 30 juin. Regrettant qu’Oleksiuk « [n’ait] pas pris contact » avant de dévoiler la faille et de la baptiser « ThinkPwn », le groupe chinois assure que ses équipes ne sont pas à l’origine de la faille. Le problème viendrait d’en haut ; en l’occurrence, d’un des trois fournisseurs d’UEFI que Lenovo sollicite.

Ledit fournisseur (IBV, pour « Independent BIOS Vendor ») aurait réutilisé du code connu comme étant vulnérable, mais qu’Intel a corrigé en 2014, au niveau de la fonction SmmRuntimeManagementCallback()

Alex James, autre chercheur en sécurité, est allé plus loin. Grâce au logiciel Insyde EFI, il a déterminé que ThinkPwn touchait aussi un certain nombre de PC portables de marque HP.

Depuis lors, la liste s’allonge et touche au monde du desktop. Aux dernières nouvelles de ce mardi 5 juillet, plusieurs références de cartes mères Gigabyte sont concernées.

Crédit photo : bestfoto77 – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago