Les clients de Gigabyte ont un souci : une faille touche l'UEFI de 271 cartes mères

Pierre Dandumont |

Dans le monde PC, les failles se suivent et se ressemblent. Après MSI qui a perdu les clés de chiffrement de ses firmwares dans la nature, voici Gigabyte qui a laissé une faille béante dans plus de 250 modèles de cartes mères, soit probablement des millions de PC dans le monde.

Un problème d'UEFI… encore

Depuis quelques années, les failles liées à l'UEFI, la partie logicielle qui gère le démarrage d'un ordinateur, sont de plus en plus nombreuses. Et pour cause : contrairement à l'antique BIOS, l'UEFI est une solution complexe qui peut contenir des pilotes, accéder à Internet, exécuter des programmes, etc. Dans le cas de Gigabyte, c'est une fonction pratique mais dangereuse qui est en cause : la possibilité d'intégrer un logiciel dans l'UEFI.

Les clients de MSI ont un souci : les clés UEFI du fabricant sont dans la nature

Les clients de MSI ont un souci : les clés UEFI du fabricant sont dans la nature

L'idée de base est simple : il est possible d'intégrer des logiciels ou des pilotes directement dans l'UEFI, c'est-à-dire dans une puce de la carte mère qui ne peut pas être modifiée facilement. Il peut par exemple s'agir d'un pilote, un cas courant : beaucoup de cartes mères modernes intègrent le nécessaire pour éviter de demander à un utilisateur d'aller télécharger le pilote de la carte réseau… ce qui est souvent impossible sans carte réseau.

L'interface de l'UEFI d'une carte Gigabyte.

Mais ce qu'explique les chercheurs d'Eclypsium, c'est que Gigabyte en profite pour charger un programme qui va gérer la mise à jour de l'UEFI. Et il agit un peu à la manière d'un logiciel malveillant : il est chargé silencieusement depuis l'UEFI vers le disque de démarrage, et se lance ensuite en même temps que Windows.

Rien que ce point est probablement un problème, mais il y en a deux autres, comme le notent les chercheurs. Premièrement, le programme va vérifier la présence d'une mise à jour sur un lien en http://(sans le s). Deuxièmement, la validation des signatures pour la version https:// est visiblement mal implémentée. Dans les deux cas, le résultat est le même : ce programme caché peut servir de point d'entrée à des malandrins qui voudraient implanter un logiciel malveillant sur un PC équipé d'une carte mère Gigabyte.

La liste des cartes mères touchées est particulièrement longue, avec 271 modèles sortis ces quelques dernières années. De façon ironique, la seule solution actuellement pour Gigabyte est de mettre à jour l'UEFI de toutes les cartes mères en utilisant l'outil incriminé. Dans les faits, la société propose des UEFI (en bêta) pour une bonne partie de ses cartes mères récentes, avec une mention explicite : Addresses Download Assistant Vulnerabilities Reported by Eclypsium Research. Si vous avez une carte mère de la marque, pensez donc à aller vérifier ce point.

Une carte mère touchée.

Enfin, la faille est assez dangereuse de par son fonctionnement : si un attaquant infecte une machine et que le client détecte le problème, un simple redémarrage risque de relancer l'attaque. Les chercheurs recommandent de mettre à jour manuellement l'UEFI, de désactiver la fonction dans le setup (elle porte le nom de APP Center Download & Install) et éventuellement de bloquer les trois URL employées : http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4, https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 et https://software-nas/Swhttp/LiveUpdate4.

avatar TheGreenMan | 

Vraiment pénibles ces actus « PC ».

PS : Non, je n’ai pas pris un abonnement afin de devoir filtrer les tags, merci.

avatar radeon | 

@TheGreenMan

Moi je trouve cela intéressant et ce n’est pas parce qu’on est passionné par le monde de la pomme qu’on souhaite nécessairement s’y limiter.
Je remarque que t’as perdu du temps à ouvrir un truc qui ne t’intéresse pas, puis de dire à tout le monde que ça te dérange …. Tu t’ennuies ?

avatar Pierre H | 

Au moins ça reste dans l'informatique. Et Gygabite fait des cartes mères qui sont top pour faire des Hackintosh. Donc perso je trouve ça plus intéressant que des news de Tesla...

avatar Sillage | 

@TheGreenMan

Comme il a été dit, pourquoi perdre du temps à lire une News du monde PC, et à la commenter ?

Que dire des articles Tesla, Meta, et autres ? Ils ne sont pas du monde de la Pomme.

Aussi, il faut arrêter de ne s’intéresser qu’à sa petite patrie et avoir une vision un peu plus large, et plus humble, sinon souhaite progresser…
Ceci est valable dans tous les domaines….

Ce site offre une bonne variété. Et les rédacteurs ne sont t pas hautains comme j’ai pu le voir ailleurs… (vais finir par le dire : i-nfo.fr, la pire catastrophe, ils ne font que relayer mais parlent de confrères avec ceux qui vont chercher et rédiger les infos. Ici, vrai travail de test, même si ils relaient beaucoup d’infos dont l’investigation est d’ailleurs, ils ne s’avancent pas en « confrères » et n’ont pas ce ton hautain vu ailleurs. J’apprécie ici grandement cette communauté de MacG).

avatar bonnepoire | 

@ TheGreenMan
Mes cartes mères sont des Aorus donc cet article m’intéresse.

avatar reborn | 

Apple a vu juste avec son approche depuis la T2

avatar raoolito | 

super intéressantes ces actus « PC », ca relativise les reproches permanents fais aux mac.

au moins sur silicon on est sur un autre boot, par contre qu’en est-il des mac intel? on a deja entendu parler de failles de ce type? et apple, comment corrige-t-elle ces failles?

avatar reborn | 

@raoolito

Thunderstrike et Thunderstrike 2

avatar Crunch Crunch | 

Perso, je suis très heureux d'avoir ce genre d'info 👍🏻 Même si je suis pro Mac.

avatar Targorn | 

J'ai de la chance, et encore un peu de mal à le croire, mais ma "Z390 AORUS MASTER" qui n'a pourtant que trois ans, ne semble pas touchée.

C'est bien des tracas évités, parce que le PC pour jouer c'est bien, mais quand il faut mettre les mains dans le cambouis c'est une horreur.

Merci pour pour la news 👍

avatar ValentBay | 

N’en déplaise aux râleurs, Macge est un site traitant certes essentiellement l’actualité dApple mais c’est aussi un site d’actualités sur l’informatique en général. Voir des articles relatant les informations importantes de cet univers ne relève pas de la déviance, loin s’en faut.

Je râle dans ma tête sur les articles à propos de Tesla mais j’admets qu’ils jouissent d’une forme de légitimité.

avatar TheGreenMan | 

Actualité Apple plus ou moins oui, je dirai plutôt c/c de sites anglophones dont un en particulier.

Quant à ta bile @Radeon je trouve que cette dernière colle parfaitement au lieu. En fait c’est très simple, ici, établir une remarque est souvent succédé d’une pléthore de commentaires plus toxiques les uns que les autres.

C’est ainsi que je vais me limiter aux rares « nouvelles » et zapper de manière radicale les « interactions » afin de préserver mon bien-être mental 🙂

avatar hartgers | 

Certes mais pour toutes celles et ceux qui ont monté un hackintosh, il n'est pas impossible que cette info soit intéressante. C'est mon cas même si apparemment ma mobo n'est pas concernée (pareil qu'un autre commentaire, Z390)

avatar Sillage | 

@TheGreenMan

Va voir vers i-nfo.fr. Tu reviendras bien vite.

Ici, il y a au moins des gens compétents sur le forum et les auteurs des articles maîtrisés plus ou moins leurs sujets, pas comme là-bas.

Il est toujours facile de râler, mais difficile d’apprécier ce que l’on a.

Je suis venu ici, et sérieusement, je ne le regrette pas. Même si je suis plus PC, j’apprécie la News Apple.

Cordialement.

Reviens vite nous dire comme c’était ailleurs niveau qualité….. 😂

avatar Kiru | 

Première réaction : « 271 ça va. C’est gérable. »

Puis : « Ah. Modèles de carte-mère… »

avatar Adodane | 

Le plus grave c'est que gigabyte installe un logiciel en douce sans en informer l'utilisateur à la base.
Faudrait vraiment revoir notre relation commerciale avec la Chine.

avatar fte | 

@Adodane

"Faudrait vraiment revoir notre relation commerciale avec la Chine."

Gigabyte est Taïwanais.

avatar Adodane | 

@fte

Une usine en Chine est chinoise, et Taïwan n’est sûrement pas un investisseur étranger du point de vue du gouvernement chinois.

avatar fte | 

@Adodane

"Une usine en Chine est chinoise, et Taïwan n’est sûrement pas un investisseur étranger du point de vue du gouvernement chinois."

La plupart des cartes mères Gigabyte sont made in Taiwan, sauf le bas de gamme. Le point de vue du gouvernement chinois sur ces cartes mères made in Taiwan m’importe nullement.

avatar Adodane | 

@fte

La plupart des cartes ... C'est une affirmation tirée d'un chapeau ou c'est des faits réels et documentés ? Parce que gigabyte a deux usines en chine contre une a Taiwan.
Gigabyte avait d'ailleurs fait la promotion du "made in Taiwan" pour ses produits il y a quelques années, ils se sont dont fait taper sur les doigts par le gouvernement chinois... Résultats ils ont du s'excuser et rentrer dans le rang.

Donc gigabyte taïwanais c'est vite dit ! Comme toute entreprise qui a des usines en chine, c'est contrôlé par la Chine, quelque soit la maison mère.

avatar fte | 

@Adodane

"C'est une affirmation tirée d'un chapeau ou c'est des faits réels et documentés ?"

Documenté.

"Gigabyte avait d'ailleurs fait la promotion du "made in Taiwan" pour ses produits il y a quelques années, ils se sont dont fait taper sur les doigts par le gouvernement chinois..."

En effet. Politique…

"Donc gigabyte taïwanais c'est vite dit !"

C’est moins vite dit que de dire que Gigabyte est chinois.

avatar Adodane | 

@fte

Je n'ai jamais dit que gigabyte était chinois, elle est basée à Taiwan puisque le siège s'y trouve. J'ai juste parlé des usines qui se trouvaient en Chine et qui étaient donc chinoises.

avatar fte | 

@Adodane

"Je n'ai jamais dit que gigabyte était chinois"

Tu as dis qu’il fallait réviser nos relations commerciales avec la Chine en parlant spécifiquement de Gigabyte.

Fais autant de pirouettes que tu le souhaites, chacun pourra relire ce fil.

Sur ce, belle semaine.

CONNEXION UTILISATEUR