Gigabyte Logo

Pas de discrimination, des modèles pour AMD et pour Intel sont concernés par la présence de cette porte dérobée dans le firmware de GIGABYTE.

Après la débâcle des processeurs cramés sur AM5, notamment par des cartes mères un peu trop permissives, voilà une autre nouvelle dont tout le monde se serait certainement bien passé. « Heureusement », l’histoire ne concerne cette fois-ci qu’un seul fabricant et implique autant du hardware compatible AMD qu’Intel. C’est déjà un fait depuis longtemps que la sécurité logicielle (et l’optimisation) n’est pas toujours le fort des différents constructeurs et c’est GIGABYTE qui a cette fois-ci été pris en flagrant délit de défaut de sécurisation ! En effet, l’équipe de chercheurs du spécialiste en cybersécurité Eclypsium a pu découvrir une porte dérobée dans le micrologiciel de 271 cartes mères différentes à base de chipsets AMD et Intel de ces dernières années, de la série AMD 400, aux actuelles Intel 700 et AMD 600. Ce qui représente au bas mot des millions d'unités partout dans le monde !

Eclypsium Logo Gigabyte Backdoor Copy

La faille en question est liée à l’implémentation non sécurisée d’un petit programme de mise à jour utilisé par GIGABYTE pour garder d'actualité le firmware de la carte mère. Ce programme en question est activé à chaque démarrage et se connecte à internet pour vérifier s’il existe des updates, c’est d’ailleurs celui-ci qui peut parfois afficher des popups sous Windows pour vous inviter à installer les derniers bouts de code en date du fabricant. Le problème, c’est que ce logiciel utilise parfois des connexions non sécurisées et télécharge des données sur la machine de l’utilisateur sans une authentification appropriée, puisqu’il n’utilise absolument aucune méthode de validation pour ce qui est ainsi récupéré. Enfin, il est également capable de télécharger des données depuis un NAS présent sur le réseau local. Par conséquent, les connexions HTTP et HTTPS établies sont susceptibles de faire l’objet d’une attaque de l’homme du milieu, la première l’étant naturellement plus que la seconde. Alternativement, un attaquant pourrait aussi s’en prendre directement au NAS pour infecter une machine par ce biais.

Heureusement, il n’y a aucune indication pour l’instant que cette faille a déjà été exploitée, il faut dire qu’elle ne coule pas forcément de source. Ce n’est évidemment pas pour autant qu’il faut la laisser ouverte. L’ironie de la situation, c’est que le colmatage va naturellement nécessiter une mise à jour du firmware. Avant de publier sa trouvaille, Eclypsium a informé GIGABYTE comme la coutume le veut. Bien entendu, le constructeur a prévu de faire le nécessaire. Espérons qu’il le fera rapidement et qu’il n’oubliera pas les cartes mères les plus anciennes, notamment AM4. En attendant, Eclypsium invite les propriétaires d’une carte mère touchée à entrer dans le BIOS pour y désactiver l’option « APP Center Download & Install » (parfois « GIGABYTE Utilities Downloader ») et au passage mettre en place un mot de passe. Et pour se mettre encore davantage à l’abri, il est également possible de bloquer les 3 adresses habituellement interrogées par le logiciel :

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://software-nas/Swhttp/LiveUpdate4

S’il semble assez évident que la faille n’était intentionnelle (les complotistes et les plus paranos diront probablement que si), une telle trouvaille ayant mis en évidence un travail de sécurité plutôt indigne pour une grande entreprise n’en reste pas moins inquiétante et laissera évidemment (encore une fois) très songeur quant à la sécurité des logiciels et micrologiciels pour ce genre de matériel, que ce soit chez GIGABYTE, mais aussi chez les autres. Après tout, la plupart des fabricants utilisent des méthodes de mises à jour similaires, et des incompétents et/ou des feignasses, on en trouve partout aussi…

La liste des modèles affectés et l'article de présentation de la faille sur le blog d'Eclypsium.

Matt


  • Gigabyte, tiens donc. Les mêmes qui s'étaient fait extirpé un max d'info confidentielle (sur AM5, entre autre), par ransomware, il y a 2 ans.  Ya pas que leur cartes-mères qui ont les portes grandes ouvertes 🤣

  • Ma CM étant dans la liste, j'ai été directement dans le BIOS après avoir vu passer la news sur Twitter. Je n'ai jamais pu trouver la putain d'option pour désactiver App center, j'ai vérifié absolument partout, tous les onglets, toutes les options, que dalle. Mon BIOS n'étant pas ultra récent, je me demande si cet App center n'a pas été rajouté assez récemment. D'ailleurs, je n'ai jamais eu le moindre popup sous Windows venant de ce truc et ça fait un moment que j'ai ma CM. Si quelqu'un est dans le même cas, qu'il n'hésite pas à se manifester. Je suis preneur si il y a plus d'infos sur des situations comme la mienne. 

    • sur la X670E, l'utilitaire à désactiver se trouve dans l'onglet Setting / IO Ports / Gigabyte utilities Downloader. Note que ASUS fait de même avec son Armoury Crate à désactiver dans le BIOS 😉

      • Oui, j'ai vu passer ça sur Reddit pour IO Ports mais je n'ai pas pu le trouver. Et pourtant j'ai regardé dans tous les onglets, ça me rend fou. J'ai une b450m ds3h. J'ai vu un message comme quoi l'App center ne serait présent que depuis le BIOS F63 (Février 2022), le mien est plus ancien, mais c'était un seul message et personne n'a pu me rencarder. Je revérifierai demain mais je ne vois pas comment j'aurais pu le louper, j'ai regarder absolument partout même dans les trucs pour OC.

4 commentaires

Laissez votre commentaire

En réponse à Some User