Ouvrir le menu principal

MacGeneration

Recherche

Les clients de Gigabyte ont un souci : une faille touche l'UEFI de 271 cartes mères

Pierre Dandumont

vendredi 02 juin 2023 à 12:45 • 24

Logiciels

Dans le monde PC, les failles se suivent et se ressemblent. Après MSI qui a perdu les clés de chiffrement de ses firmwares dans la nature, voici Gigabyte qui a laissé une faille béante dans plus de 250 modèles de cartes mères, soit probablement des millions de PC dans le monde.

Un problème d'UEFI… encore

Depuis quelques années, les failles liées à l'UEFI, la partie logicielle qui gère le démarrage d'un ordinateur, sont de plus en plus nombreuses. Et pour cause : contrairement à l'antique BIOS, l'UEFI est une solution complexe qui peut contenir des pilotes, accéder à Internet, exécuter des programmes, etc. Dans le cas de Gigabyte, c'est une fonction pratique mais dangereuse qui est en cause : la possibilité d'intégrer un logiciel dans l'UEFI.

Les clients de MSI ont un souci : les clés UEFI du fabricant sont dans la nature

Les clients de MSI ont un souci : les clés UEFI du fabricant sont dans la nature

L'idée de base est simple : il est possible d'intégrer des logiciels ou des pilotes directement dans l'UEFI, c'est-à-dire dans une puce de la carte mère qui ne peut pas être modifiée facilement. Il peut par exemple s'agir d'un pilote, un cas courant : beaucoup de cartes mères modernes intègrent le nécessaire pour éviter de demander à un utilisateur d'aller télécharger le pilote de la carte réseau… ce qui est souvent impossible sans carte réseau.

L'interface de l'UEFI d'une carte Gigabyte.

Mais ce qu'explique les chercheurs d'Eclypsium, c'est que Gigabyte en profite pour charger un programme qui va gérer la mise à jour de l'UEFI. Et il agit un peu à la manière d'un logiciel malveillant : il est chargé silencieusement depuis l'UEFI vers le disque de démarrage, et se lance ensuite en même temps que Windows.

Rien que ce point est probablement un problème, mais il y en a deux autres, comme le notent les chercheurs. Premièrement, le programme va vérifier la présence d'une mise à jour sur un lien en http://(sans le s). Deuxièmement, la validation des signatures pour la version https:// est visiblement mal implémentée. Dans les deux cas, le résultat est le même : ce programme caché peut servir de point d'entrée à des malandrins qui voudraient implanter un logiciel malveillant sur un PC équipé d'une carte mère Gigabyte.

La liste des cartes mères touchées est particulièrement longue, avec 271 modèles sortis ces quelques dernières années. De façon ironique, la seule solution actuellement pour Gigabyte est de mettre à jour l'UEFI de toutes les cartes mères en utilisant l'outil incriminé. Dans les faits, la société propose des UEFI (en bêta) pour une bonne partie de ses cartes mères récentes, avec une mention explicite : Addresses Download Assistant Vulnerabilities Reported by Eclypsium Research. Si vous avez une carte mère de la marque, pensez donc à aller vérifier ce point.

Une carte mère touchée.

Enfin, la faille est assez dangereuse de par son fonctionnement : si un attaquant infecte une machine et que le client détecte le problème, un simple redémarrage risque de relancer l'attaque. Les chercheurs recommandent de mettre à jour manuellement l'UEFI, de désactiver la fonction dans le setup (elle porte le nom de APP Center Download & Install) et éventuellement de bloquer les trois URL employées : http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4, https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 et https://software-nas/Swhttp/LiveUpdate4.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

11:00

• 5


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

08:00

• 13


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 124


Apple fait ses emplettes dans les start-up, entre avatars virtuels et monitoring de l’IA

04/07/2025 à 21:00

• 1


Un premier pas vers le jailbreak de la Touch Bar : le système démarre en mode verbose

04/07/2025 à 17:45

• 17


MacBook Air M2 à 750 € ou Mac Studio M2 Max à 1 300 € ? Entre portable et fixe, il faut choisir

04/07/2025 à 15:22

• 25


Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

04/07/2025 à 13:02

• 79


Un site web pour décoder les pages sauvées en .webarchive par Safari

04/07/2025 à 11:00

• 3


Ulanzi présente une station d'accueil au look de petit Mac Pro

04/07/2025 à 10:15

• 17


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

04/07/2025 à 09:18

• 13


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

04/07/2025 à 08:33

• 5


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

04/07/2025 à 07:52

• 40


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 46


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 10


Test du ViewSonic ColorPro VP2788-5K : 27″, 5K et DCI-P3 pour le prix d’un demi-Studio Display

03/07/2025 à 20:30

• 10


Guerre commerciale : les produits fabriqués au Vietnam voient leur taxe multipliée par cinq

03/07/2025 à 20:20

• 30