Les clients de MSI ont un souci : les clés UEFI du fabricant sont dans la nature
Nous avons déjà parlé du problème, les attaques qui visent le firmware, c'est-à-dire la partie logicielle qui gère le démarrage d'un ordinateur, peuvent difficilement être contrées. Et les personnes qui utilisent un PC qui vient de chez MSI ont donc un souci : la marque a été piratée et les clés de chiffrement sont dans la nature.
Le problème du firmware est presque insoluble
Dans les PC modernes (et dans les Mac Intel), le firmware qui permet le démarrage est un standard qui porte le nom d'UEFI. C'est le successeur de l'antique BIOS et il offre beaucoup plus de fonctions. L'UEFI peut exécuter des programmes, intégrer des pilotes et il peut être vu comme un OS basique, avec de nombreuses possibilités. Il est aussi nettement plus sécurisé que son prédécesseur.
Mais « mieux sécurisé » ne veut pas dire inviolable, loin de là. La société Micro-Star International (le nom complet de MSI) a en effet été piratée le mois dernier et des clés de chiffrement qui permettent de signer les composants logiciels destinés à l'UEFI ont été dérobées, selon Ars Technica.
La première des clés permet de signer les mises à jour de l'UEFI, ce qui permet à un attaquant de fournir une mise à jour d'UEFI qui peut contenir un programme malicieux. Le problème principal, c'est que MSI vend énormément d'appareils différents (cartes mères, PC portables, etc.) sans réelles possibilités pour révoquer les clés. Dans l'idéal, tant les programmes qui effectuent les mises à jour que les UEFI des périphériques devraient être mis à jour, mais c'est un doux rêve dans le monde grand public. En effet, une partie significative des utilisateurs n'a aucune idée de l'existence de l'UEFI, et arriver à pousser des mises à jour d'UEFI pour tous les appareils en circulation semble être une tâche herculéenne (et probablement impossible) pour une société qui ne contrôle pas l'OS1.
La protection d'Intel est attaquée
L'autre problème vient de la seconde clé récupérée. Elle est liée à la technologie Intel Boot Guard, qui permet de protéger un ordinateur d'une attaque issue de l'UEFI. En effet, un logiciel malveillant présent dans l'UEFI dispose de possibilités bien plus grandes que s'il se trouve au niveau de l'OS principal. Il peut notamment se cacher beaucoup plus efficacement et est surtout très difficilement délogeable.
La clé permet en théorie d'intégrer un malware au niveau de l'UEFI, mais elle est visiblement liée aux appareils conçus par MSI, et ne fonctionne donc pas sur les systèmes d'autres fabricants. Mais, car il y a un mais, le fait que MSI fournisse énormément de fabricants de PC peut poser des soucis. En effet, la société vend ses propres produits mais équipe aussi certains PC de fabricants tiers en OEM, notamment pour la conception de la carte mère… et donc de l'UEFI.
Dans tous les cas, les fuites liées à l'UEFI posent souvent de gros problèmes, nous l'avons vu récemment avec la faille BlackLotus, et elles sont surtout difficilement évitables. Même quand un constructeur force les mises à jour d'UEFI1 et tente de révoquer les clés, il reste souvent une frange d'utilisateurs vulnérables : ceux qui n'appliquent pas les mises à jour. Et dans beaucoup de cas, la révocation est souvent impossible car elle risque de poser plus de soucis que la faille elle-même.
BlackLotus, la faille « magique » impossible à patcher qui attaque l'UEFI et Windows
Dans tous les cas, méfiez-vous si vous avez un PC MSI.
-
C'est un des avantages de l'écosystème Apple : la marque pousse les mises à jour de l'UEFI avec celles de l'OS. C'est efficace tant que l'OS est pris en charge et que les utilisateurs appliquent les mises à jour. ↩︎
Peu importe, puisque la nature est bien faite.
@Paquito06
"Peu importe, puisque la nature est bien faite."
La Nature a créé un gros tas de cons. Elle ne réussi pas tout hein.
@fte
Oui 😌
> La Nature a créé un gros tas de cons. Elle ne réussi pas tout hein
Et en plus elle n'a même pas l'excuse de s'améliorer à chaque itération vu que le QI descend.
Merci Macg pour l'info! J'ai sur mon PC perso une CM MSI 450 Max et le dernier Bios date du 27.04.23 donc j'imagine que le correctif doit être dedans non? (En tout cas y'a du suivi :)) La plus grande force du PC est aussi sa plus grande faiblesse, à savoir qu'il y a tellement de choix que cela fait d'autant plus de possibles maillons faibles.
@Glop0606
Correctif ou pas, la faille ne peut pas être comblée intégralement. En gros tu es en slip ^_^
Ta meilleure défense, c'est de n'installer que des programmes téléchargés chez l'éditeur directement. Car imaginons le même programme venant d'un tiers malveillant et tu l'as dans l'os !
@Gwynpl@ine
Et vous venez de résumer la stratégie d’Apple, que nos politiques veulent détruire.
Alors oui, ça permet à Apple d’abuser de sa position de gestionnaire (ce qui est un problème), mais réduire la sécurité pour contrer ce problème est une aberration, que beaucoup vont vivre dans peu de temps. Sauf que dans un portable, il y a beaucoup plus de choses que dans un ordinateur.
@Nesus
Moi, je suis pour brûler Apple et Microsoft ^_^ GNU/Linux et puis c'est tout !
Tu sais, ils peuvent ouvrir d'autres stores sur iOS ou mac OS, personnellement ça restera Apple point barre. Après les politiques ne détruisent rien, ils veulent juste l'ouverture, je suis pour, même si je n'irai pas ailleurs.
@Gwynpl@ine
J’ai été longtemps Linux, mais j’en ai eu marre de passer plus de temps à bidouiller la machine qu’à l’utiliser.
Je n’ai rien contre la multiplication des store, ce qui est dérangeant c’est la manière dont ils veulent le faire. Permettre au système d’installer toutes sources, c’est forcément une baisse de sécurité (qui est déjà loin d’être parfaite).
@Gwynpl@ine
"Moi, je suis pour brûler Apple et Microsoft ^_^ GNU/Linux et puis c'est tout !"
Ben dans le cas présent, l'OS ne protège rien du tout. Car c'est au niveau du firmware que l'attaque sera faite.
@Glop0606
C'est le défaut de ce système, les clés finissent toujours par être volées car elle ne peuvent pas être conservées au chaud dans un coffre. L'idéal (pour la sécurité, pas pour l'utilisateur) serait d'interdire les mise-à-jour de l'uefi par l'os et le faire à l'ancienne : reboot avec une clé usb qui contient la mise-à-jour, le clé servant à être sûr que l'on n'installe pas un firmware pour l'uefi du voisin.
@koko256
Alors, non… :)
La clé qui se balade, c’est la publique et c’est normal. Pour les clés privées il y a des équipements dédiés pour ça. Si MSI s’est fait voler ses clés privées, c’est qu’ils ont merdé quelque part : dans l’organisation, dans les protocoles (techniques et humains) d’accès, la surveillance…
@sebasto72
La clé publique est diffusée, elle ne se ballade pas. Pour les clés privées, ce n'est pas si simple à très grande échelle ne serait-ce que pour l'amener dans les équipements dédiés. Par contre, oui, ils sont responsable si cela a fuité, je ne cherche pas à les excuser, mais je ne place aucune confiance dans des systèmes à signatures pour ce genre d'infra. "Ils" finissent toujours par merder.
@koko256
Un peu de poésie ne fait pas de mal 😄
Par contre, pourquoi diable « amener » les clés privées ? Et les amener où ? Une clé privée ça reste sur l’équipement qui la crée, justement.
@sebasto72
Non. La clé privée doit aller sur tous les serveurs qui l'utilisent. Et en général, ils sont plusieurs et à plusieurs endroits (sauf pour des petits ensembles). C'est sûr que ce serait mieux que le cio se charge de signer tous les firmware avec les opérationnels qui font la queue devant son bureau mais cela ne passe pas à l'échelle.
@koko256
Non.
Une PKI c’est pas 1 clé privée qu’on installe partout. Et les HSM ce sont énormément démocratisées. Leur usage correct, pas encore.
@sebasto72
Je connais parfaitement les PKI. Il y a des endroits où les clés privées sont sur plusieurs sites (je n'ai jamais dit "partout") et où elles changent (l'adoption d'EC est bien trop long et à force on aura les ordinateurs quantiques avant).
@koko256
Pardon je suis peut-être pas réveillé (ou la journée est déjà longue, au choix 😅), qu’est-ce que tu mets derrière « EC » ?
Doublon
@sebasto72
Elliptic curve, courbes elliptiques (désolé du jargon). Les clés RSA doivent faire 8192 bits (d'après le NIST) alors que 256 suffit pour les courbes elliptiques (et si l'on veut être tranquille on choisit 384).
Mais rien de tout cela ne résiste au quantique...
@sebasto72
"La clé qui se balade, c’est la publique et c’est normal. Pour les clés privées il y a des équipements dédiés pour ça. Si MSI s’est fait voler ses clés privées, c’est qu’ils ont merdé quelque part : dans l’organisation, dans les protocoles (techniques et humains) d’accès, la surveillance…"
Dans le cas présent, la clef publique suffit pour corrompre tous les systèmes de MSI. Pas besoin de la clef privée. La clef privée sera le bonus.
En effet, je crée un firmware vérolé.
Je signe mon firmware avec la clef publique, je téléverse mon firmware vérolé. Vu que j'ai utilisé une clef publique "officielle", mon firmware vérolé sera accepté comme firmware officiel.
Voilà le système est corrompu avec juste une clef publique
@XiliX
Que nenni :)
La signature (pas le chiffrement) d’un fichier se fait toujours avec la clé privée de l’émetteur, les destinataires peuvent s’assurer que le fichier a bien été scellé (et non pas chiffré) par un émetteur reconnu grâce à la clé publique de cet émetteur.
Dommage. Asus étant en chute libre vers le fond de l’abîme je m’orientais vers une autre marque pour mes fournitures de cartes mères et autres, MSI en tête, et voilà.
Je vais finir par me tourner vers ASRock si ça continue.
a priori les dernières n'aurront pas de souci si MàJ, si je comprends bien (ce que je ne garantis pas parce que même avec quelques connaissances dans le domaine, il y a toujours des subtilités quand il s'agit de sécurité !)
@fte
Cette fuite touche plusieurs constructeurs, donc il faut attendre les retours.
Merci Pierre pour cet article : je ne comprenais pas pourquoi d'autres vendeurs étaient impactés, je n'avais pas suivi que MSI fournissait parfois Lenovo and co en cartes mères !
"des clés de chiffrement qui permettent de signer les composants logiciels"
Si c'est pour signer, ce sont des clés de signature. (Dans RSA, en général à l'origine de la confusion, c'est effectivement la routine de chiffrement qui est effectuée mais pas du tout dans DSA/ECDSA et appeler cela du chiffrement trouble la compréhension).
La première image de l’article donne envie de récupérer ces clefs pour distribuer une mise à jour qui retoucherait les couleurs de l’interface de ce shell EFI. 🤢
Combien de PCs avec ces cartes mères dans les administrations, sites sensibles et chez nos industriels ? Les hackers vont s’en donner à cœur joie…
Et quand ce genre de failles va arriver dans les véhicules connectés des prochaines années, on pourra nous refaire la scène de FF8 où Charlize prend le contrôle de toutes les voitures à distance…
Bonjour la pagaille sur les routes 😱.
@ Nesus
"Tiens, les détracteurs de la T2 commencent a comprendre les verrouillages d’Apple. Être en avance, c’est souvent avoir tort, jusqu’à ce que l’histoire vous donne raison."
Jusqu'au jour, peut-être, où une faille sera trouvée faisait du T2 le plus gros maillon faible des Mac qui en sont équipés. En terme de sécurité informatique, rien n'est jamais garanti.
@Avenger
C’est sûr, sauf que ce qu’il dit c’est que les gens crache sur la sécurité fermer d’Apple mais pour le moment ça reste quand même le top.
@Avenger
"En terme de sécurité informatique, rien n'est jamais garanti."
Ce que tu essaies de dire, c’est que :
"Être en avance, c’est souvent croire qu’on a raison, jusqu’à ce que l’histoire vous donne tort."
Je suis d’accord avec ça.
J'ai juste une question d'ordre général...
Qui ici, c'est déjà fait voler des données, prendre son ordinateur par contrôle à distance?
Si je demande cela c'est parce que de mon vénérable Vic20 (mon premier ordi) à mon MBP, en passant par un peu tous les systèmes d'exploitations, j'ai déjà eu il y a longtemps quelques alertes de virus sous win 95, mais il me semble que strictement jamais je ne me suis fait pirater (ou alors je n'ai rien d'important à voler)...
Quelqu'un a qui s'est arrivé peut-il expliquer dans quelles conditions cela s'est-il produit?
@debione
"Qui ici, c'est déjà fait voler des données, prendre son ordinateur par contrôle à distance?"
Moi.
Vol d’informations de login. Je m’en suis rendu compte en moins de 10 minutes cependant et j’ai pu changer mon mot de passe avant qu’il ne soit exploité, et comme je ne réutilise jamais mes mots de passe, un seul compte était compromis…
p.s. comme je le disais plus haut : erreur humaine. Cet humain : moi.
@fte:
Votre vol de login, c'était le login de votre ordi? Et comment ce vol a-t-il eu lieu? (attaque à distance? maliciel? autre?)
@debione
"Votre vol de login, c'était le login de votre ordi? Et comment ce vol a-t-il eu lieu? (attaque à distance? maliciel? autre?)"
Compte d’un jeu en ligne, une conversation anodine sur un serveur discord anodin, un poll sur le forum de l’éditeur, ou du moins un poll sur une copie extrêmement bien torchée du forum de l’éditeur, sur lequel je me suis loggué. Sauf que mon avatar n’était pas correct. Du coup je suis aller voir mon profil.
Lumière dans ma tête. Contremesures urgentes à déployer fissa. Avertir admin du serveur discord et avertir l’éditeur du jeu…
Phishing d’un crétin pas assez méfiant.
@fte:
Ah oui je vois, mais la question que je (me) posais n'était pas de l'ordre du pishing, mais de l'ordre de l'ordi vérolé d'une manière ou d'une autre...
Et plus le simple fait que perso en 40 ans d'usage informatique, il ne m'est jamais rien arrivé de la sorte (ou tout du moins rien que j'ai pu remarqué ou qui aie prêté à conséquence, c'est que de mémoire, cela n'est arrivé à aucune de mes connaissances...
@debione
Le point faible est humain.
Mais des ransomwares, il y en a eu plusieurs l’année dernière dans notre belle région… il n’y a pas besoin de chercher très loin, RTS info. :p
@fte:
Je vous rejoins sur l'humain.
Mais de mémoire, cette vague attaque(ait) uniquement les entreprises.
Ce que je cherche à savoir, c'est qui s'est fait voler ces données personnelles, dans son ordi personnel, via un hack.
Vu le nombre de réponse, je crois que l'on peut dire que ce chiffre (qui doit exister) est absolument insignifiant. Et qu'il y a beaucoup d'imaginaire, et peu de preuve. Et que l'argument de la sécurité, elle doit exister soyons clair, n'est qu'une grosse esbrouffe. Faire peur pour vendre, ce qu'Apple fait à longueur d'année, est une technique vieille comme le monde, mais qui aussi rend la société complètement anxiogène avec toutes les dérives que cela implique.
Ayez peur brave gens, et acheter mes merdes qui vous protégeront de ce qu'il ne vous arrivera probablement jamais.
@debione
"Mais de mémoire, cette vague attaque(ait) uniquement les entreprises."
C’est ce qui a été médiatisé. Quelqu’un aura peut-être ramené la saloperie chez lui avec une clé USB. Mais les médias ne vont pas en parler lorsqu’un hôpital entier est à l’arrêt à cause de ça.
Pour ma part j’ai eu des virus détectés et éliminés par mes anti-virus. J’ai eu nVir par exemple. Et d’autre plus récents. Et pourtant j’ai toujours été circonspect et prudent, à télécharger les trucs louches dans une machine virtuelle toujours toussa. Mon NAS m’en a détecté un la semaine passée dans les backups de mon épouse…
Les arnaques au support pour prendre le contrôle de machines et voler des données privées ça arrive, le phishing en se faisant passer pour une banque ou récemment la poste suisse, ça arrive, les vols d’identité numérique et des comptes sociaux hackés ça arrive, fappening a eu lieu.
Tant que ça n’arrive qu’aux autres, pas besoin de s’en préoccuper. ;)
Ceci dit, l’humain est excessivement mauvais à jauger les risques réels. On a tous une crainte des grands requins blancs n’est-ce pas ? Effrayant. Le risque 0, c’est avant la catastrophe. Le risque passe à 100% au moment de la catastrophe. Quel est le vrai chiffre ?
@fte:
Ah mais il faut se soucier de la sécurité... Mais si on veut une sécurité "total secure", ben on ne vit plus. (inutile de développer par l'exemple, tu vois de quoi je parle)
Ce que j'essaye juste de déméler dans ma tête, c'est la partie anxiogène portée par la surmédiatisation, la sur utilisation de superlatif, les chambres d'écho des réseaux VS la réalité quotidienne de l'écrasante majorité.
Cela dépend de tellement de paramètre individuel... Perso, j'ai perdu 3 fois un smartphone, dont deux sans aucune protection, mais au vu de l'utilisation que j'en ai, cela ne m'a absolument rien fait d'autre que de devoir malheureusement redépenser de l'argent. Je comprends que cela soit plus problématique pour d'autres qui ont mis plus de choses importante dans un objet, ou pire, fait le choix du même panier pour les oeufs.
Et si j'émets ce doute c'est justement par l'absence de cas particulier dans mes connaissances, Je ne connais personne qui aie vécu cette situation, ce qui ne veut pas dire évidement qu'elle n'existe pas.
Si je devais faire une analogie: Les accidents de particuliers dans les escaliers et les baignoires sont une des causes de blessures et de mort très importante (j'en ai connu là par contre). Ce n'est pas pour autant que j'ai mis un monte-personne électrique dans mon escalier ou ma baignoire.
@debione
"tu vois de quoi je parle"
Oui. Je te suis. Je suis d’accord. Je vis avec une "paranoïaque" qui s’enferme jour et nuit pour être confortable. Je trouve ça épouvantable d’avoir peur du jour. Mais c’est son truc pour être bien.
@debione
Un jour, à l’époque de mon premier iMac sous Tiger, je me suis connecté à un site étranger et deux dossiers sont apparus sur le bureau : je me suis rendu compte qu’il s’agissait de logiciels pirates envoyés par le site… du genre logiciels espions mais avec l’extension .exe donc ils se seraient installés tous seuls si j’avais utilisé un PC… J’ai jeté ces saletés à la poubelle avant de la vider, avant de me féliciter une fois de plus d’avoir choisi un Mac (un early Intel de 2006).
@Sonic Tooth:
Tout comme j'avais eu des alertes avec win 95...
Donc pas de vol de données personnelles.
Pages