MSI rompt accidentellement Secure Boot pour des centaines de cartes mères
Plus de 290 cartes mères MSI seraient affectées par un réglage par défaut non sécurisé du paramètre Secure Boot de l'UEFI, qui permet à toute image de système d'exploitation de s'exécuter, qu'elle ait une signature erronée ou manquante.
Cette découverte provient d'un chercheur en sécurité polonais nommé Dawid Potocki, qui affirme ne pas avoir reçu de réponse malgré ses efforts pour contacter MSI et les informer du problème.
Selon Potocki, le problème touche de nombreuses cartes mères MSI basées sur des processeurs Intel et AMD qui utilisent une version récente du micrologiciel, et même de tout nouveaux modèles de cartes mères MSI.
Secure Boot est une fonction de sécurité intégrée au microprogramme des cartes mères UEFI qui garantit que seuls les logiciels de confiance (signés) peuvent être exécutés pendant le processus de démarrage.
Pour valider la sécurité des chargeurs de démarrage, des noyaux d'OS et d'autres composants essentiels du système, Secure Boot vérifie l'ICP (infrastructure à clé publique) qui authentifie le logiciel et détermine sa validité à chaque démarrage.
Si le logiciel n'est pas signé ou si sa signature a changé, peut-être parce qu'il a été modifié, le processus de démarrage sera arrêté par Secure Boot afin de protéger les données stockées sur l'ordinateur.
Ce système de sécurité est conçu pour empêcher les bootkits/rootkits UEFI (1, 2, 3) de se lancer sur l'ordinateur et pour avertir les utilisateurs que leur système d'exploitation a été altéré après la livraison du système par le fournisseur.
Potocki affirme que les mises à jour du micrologiciel de MSI publiées entre septembre 2021 et janvier 2022 ont modifié un paramètre Secure Boot par défaut sur les cartes mères MSI, de sorte que le système démarre même s'il détecte des violations de la sécurité.
Potocki explique que les utilisateurs doivent définir la politique d'exécution sur "Refuser l'exécution" pour les supports amovibles et les supports fixes, ce qui devrait permettre de démarrer uniquement les logiciels signés.