Le programme de mise à jour de Gigabyte à lui seul pourrait avoir soulevé des inquiétudes pour les utilisateurs qui ne font pas confiance à Gigabyte pour installer silencieusement du code sur leur machine avec un outil presque invisible, ou qui craignent que le mécanisme de Gigabyte puisse être exploité par des pirates qui compromettent le fabricant de la carte mère pour exploiter son accès caché dans une attaque de la chaîne d’approvisionnement logicielle. Mais Eclypsium a également découvert que le mécanisme de mise à jour était implémenté avec des vulnérabilités flagrantes qui pourraient permettre son piratage : il télécharge du code sur la machine de l’utilisateur sans l’authentifier correctement, parfois même via une connexion HTTP non protégée, plutôt que HTTPS. Cela permettrait à la source d’installation d’être usurpée par une attaque de type “man-in-the-middle” menée par quiconque peut intercepter la connexion Internet de l’utilisateur, comme un réseau Wi-Fi non autorisé.
Dans d’autres cas, le programme de mise à jour installé par le mécanisme du micrologiciel de Gigabyte est configuré pour être téléchargé à partir d’un périphérique de stockage en réseau (NAS) local, une fonctionnalité qui semble être conçue pour que les réseaux d’entreprise administrent les mises à jour sans que toutes leurs machines ne les contactent. a l’Internet. Mais Eclypsium prévient que dans ces cas, un acteur malveillant sur le même réseau pourrait usurper l’emplacement du NAS pour installer de manière invisible son propre logiciel malveillant à la place.
Eclypsium dit qu’il a travaillé avec Gigabyte pour divulguer ses conclusions au fabricant de la carte mère, et que Gigabyte a déclaré qu’il prévoyait de résoudre les problèmes. Gigabyte n’a pas répondu aux multiples demandes de commentaires de WIRED concernant les conclusions d’Eclypsium.
Même si Gigabyte propose un correctif pour son problème de micrologiciel – après tout, le problème provient d’un outil Gigabyte destiné à automatiser les mises à jour du micrologiciel – Loucaides d’Eclypsium souligne que les mises à jour du micrologiciel s’interrompent souvent silencieusement sur les machines des utilisateurs, dans de nombreux cas en raison de leur complexité et la difficulté de faire correspondre le micrologiciel et le matériel. “Je pense toujours que cela finira par être un problème assez répandu sur les cartes Gigabyte pour les années à venir”, déclare Loucaides.
Compte tenu des millions d’appareils potentiellement concernés, la découverte d’Eclypsium est “troublante”, déclare Rich Smith, qui est le directeur de la sécurité de la startup de cybersécurité axée sur la chaîne d’approvisionnement Crash Override. Smith a publié des recherches sur les vulnérabilités des micrologiciels et a examiné les conclusions d’Eclypsium. Il compare la situation au scandale des rootkits Sony du milieu des années 2000. Sony avait caché le code de gestion des droits numériques sur des CD qui s’installait de manière invisible sur les ordinateurs des utilisateurs et, ce faisant, créait une vulnérabilité que les pirates utilisaient pour cacher leurs logiciels malveillants. “Vous pouvez utiliser des techniques qui ont traditionnellement été utilisées par des acteurs malveillants, mais ce n’était pas acceptable, cela a dépassé les limites”, déclare Smith. « Je ne peux pas dire pourquoi Gigabyte a choisi cette méthode pour livrer son logiciel. Mais pour moi, j’ai l’impression que cela franchit une ligne similaire dans l’espace du micrologiciel.
Smith reconnaît que Gigabyte n’avait probablement aucune intention malveillante ou trompeuse dans son outil de micrologiciel caché. Mais en laissant des vulnérabilités de sécurité dans le code invisible qui se cache sous le système d’exploitation de tant d’ordinateurs, cela érode néanmoins une couche fondamentale de confiance que les utilisateurs ont dans leurs machines. « Il n’y a aucune intention ici, juste de la négligence. Mais je ne veux pas que quelqu’un écrive mon micrologiciel de manière bâclée », déclare Smith. “Si vous ne faites pas confiance à votre micrologiciel, vous construisez votre maison sur du sable.”