Bulletins

Une fuite de code source UEFI détectée sur les processeurs Intel

bs1.jpg

Intel a reconnu une fuite de son code source UEFI ; bien que certains experts en sécurité estiment que l'incident pourrait avoir de graves conséquences, le fabricant de puces affirme qu'il n'est pas inquiet.

La fuite a touché le code Alder Lake pour les processeurs Core de 12e génération. Les fichiers divulgués représentent près de 6 Go et ont été rendus publics sur GitHub et d'autres sites Web.

Le chercheur en sécurité Mark Ermolov, spécialisé dans les produits Intel, a analysé le code divulgué et a déclaré avoir trouvé une clé de signature privée qui, selon lui, signifiait que la fonction Intel Boot Guard, conçue pour protéger l'intégrité du processus de démarrage, n'était plus fiable.

Intel a confirmé la divulgation non autorisée du code propriétaire UEFI et a imputé la fuite à un tiers non identifié, et elle a déclaré que cela n'expose pas, ou ne crée pas, de nouvelles vulnérabilités en matière de sécurité.

Le géant technologique encourage tous les chercheurs en sécurité pouvant identifier des vulnérabilités potentielles à les signaler pour qu’il puisse prendre les mesures nécessaires afin d’atténuer les risques possibles.

La société de cybersécurité Hardened Vault, basée à Hong Kong, a analysé la fuite et a indiqué que le code avait été écrit par Insyde, une société qui fournit des microprogrammes UEFI et des services d'ingénierie. Précédemment, ce code a été le sujet de plusieurs vulnérabilités qui avaient touché des millions d’appareils, notamment ceux de grands fournisseurs tels que HP, Lenovo, Fujitsu, Microsoft, Intel et Dell.

Hardened Vault a ajouté qu’un attaquant/chasseur de bugs peut énormément bénéficier des fuites, même si l'implémentation OEM (Original Equipment Manufacturer) divulguée n'est que partiellement utilisée dans la production. La solution d'Insyde peut aider les chercheurs en sécurité, les chasseurs de bogues (et les attaquants) à trouver la vulnérabilité et à comprendre facilement le résultat de l'ingénierie inverse, ce qui s'ajoute à un risque élevé à long terme pour les utilisateurs.