Plus précisément, le logo du constructeur de votre PC ou de votre carte-mère qui apparaît au lancement de la machine. Cette image est en réalité une fausse, permettant d’injecter du code malveillant directement dans l’UEFI.
Chaque jour, de nouvelles failles de sécurité sont trouvées au sein de nos systèmes d’exploitation et applications. Mais peu sont aussi glaçantes que celles repérées par les chercheurs de Binarly. Si celle-ci venait à être exploitée par des pirates, une image leur suffirait à prendre le contrôle du PC visé. Pire encore, cette faille touche la quasi-totalité des constructeurs de PC Windows et Linux. Et ce pour une raison simple : la faille, ou plutôt les deux douzaines de failles détectées, se trouvent au sein de l’UEFI des appareils.
Pour rappel, la Unified Extensible Firmware Interface (UEFI) est le système d’exploitation de base de votre machine. Il s’agit en quelque chose de l’évolution du BIOS, installé sur la carte-mère, qui permet de faire la passerelle entre la partie hardware et software de l’appareil. Notamment, l’UEFI sert en premier lieu à démarrer l’OS de l’ordinateur, soit ici Windows ou Linux. De fait, il est également la première barrière de protection contre les attaques. Or, c’est précisément cette barrière que les chercheurs de Binarly ont réussi à faire tomber.
« Ces vulnérabilités sont présentes dans la plupart des cas à l’intérieur du code source [des systèmes d’exploitation], ce qui a un impact non pas sur un seul fournisseur, mais sur l’ensemble de l’écosystème à travers ce code et les constructeurs d’appareils qui l’utilisent », explique Alex Matrosov, PDG de Binarly. Autrement dit, il suffit d’exploiter ces failles dès le démarrage de l’ordinateur pour outrepasser toutes les mesures de sécurité qui sont enclenchées à ce moment-là.
Pas si simple, n’est-ce pas ? Pourtant, une seule image suffit à exploiter les failles. En effet, les pirates pourraient théoriquement remplacer le logo du constructeur, qui s’affiche au démarrage du PC, par une version infectée par un malware, chargée alors d’exécuter le code malveillant avant le chargement du système d’exploitation — et donc de ses protections de sécurité.
Pour diffuser ce logo factice, Binarly imagine un scénario où les pirates prennent le contrôle de la machine via une faille dans une application déjà installée pour y insérer leur image infectée dans l’UEFI. Bien entendu, cette manipulation est encore plus simple à réaliser dès lors que l’on a un accès physique à la machine ciblée. « Une fois que l’exécution d’un code arbitraire est réalisée pendant la phase DXE, c’est game over pour la sécurité de la plate-forme », alarment les chercheurs.
À partir de là en effet, les pirates auront « un contrôle total sur la mémoire et le disque de l’appareil cible, y compris le système d’exploitation qui sera démarré ». Il est donc urgent de patcher ces failles particulièrement dangereuses, d’autant qu’il est difficile de savoir si ces dernières ont déjà été exploitées par des pirates. Fort heureusement, plusieurs constructeurs ont déclaré qu’un correctif sera déployé incessamment sous peu.
Source : Ars Technica