Paume faciale : Le fournisseur de services de sécurité du micrologiciel Eclypsium a récemment détecté ce qu’il a décrit comme un comportement présumé de type porte dérobée sur certains systèmes Gigabyte dans la nature. Une analyse de suivi a révélé que Gigabyte utilise le code du micrologiciel de la carte mère pour exécuter discrètement un programme de mise à jour qui se connecte à Internet pour télécharger et ensuite installer les mises à jour du micrologiciel.

La porte dérobée cachée pourrait permettre aux pirates d’installer des logiciels malveillants sur un système.

Cela peut ne pas sembler être un gros problème – certains pourraient même applaudir Gigabyte pour avoir voulu s’assurer que les utilisateurs disposent du dernier micrologiciel – mais il y a quelques problèmes avec les méthodes de l’entreprise. Selon Éclypsie, le code est téléchargé sur les ordinateurs des utilisateurs sans être correctement authentifié. De plus, les téléchargements se produisent parfois via HTTP au lieu du HTTPS plus sécurisé, ce qui pourrait vous rendre vulnérable à une attaque d’homme au milieu.

2023 05 31 image 16

Il y a aussi le problème que les actions de Gigabyte vont simplement frotter certaines personnes dans le mauvais sens, même si le fabricant de la carte avait les meilleures intentions. En fin de compte, ils utilisent toujours un mécanisme caché pour télécharger et installer silencieusement du code à partir d’Internet à votre insu ou sans votre consentement.

D’autres diront que tout cela n’est pas si grave et que les entreprises de technologie publient tout le temps des mises à jour du micrologiciel. Quelle est votre opinion sur la question? Personnellement, je ne serais pas ravi qu’une entreprise mette à jour le firmware de ma carte mère sans mon approbation. Que se passe-t-il si le nouveau firmware n’est pas compatible avec mon matériel ou perturbe mon overclock ?

Eclypsium a déclaré qu’il travaillait avec Gigabyte pour résoudre l’implémentation non sécurisée de la fonctionnalité. Pour ce que ça vaut, Eclypsium a trouvé la porte dérobée sur plus de 260 cartes gigaoctets. Le liste complète des cartes mères concernées a été publié pour votre commodité.

En attendant, les parties concernées peuvent bloquer l’accès aux URL suivantes qui reçoivent un ping pour vérifier les mises à jour :

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://software-nas/Swhttp/LiveUpdate4

Les utilisateurs de carte Gigabyte inquiets sont également encouragés à vérifier leur UEFI / BIOS pour une fonction de téléchargement et d’installation de l’App Center, et à la désactiver si l’option existe. Ce n’est peut-être pas une mauvaise idée d’analyser également votre système à la recherche de logiciels malveillants.