Sécurité IT : les périphériques aussi sont fragiles
Publié par Clément Bohic le | Mis à jour le
Eclypsium attire l'attention sur les risques de sécurité que les périphériques informatiques posent au travers de leur firmware.
Vous souvenez-vous d'Equation Group ?
On a donné ce nom à une équipe de cyberespionnage liée à la NSA.
Son activité avait été mise en lumière voilà cinq ans.
Dans sa panoplie d'outils figurait un implant capable d'infecter les disques durs au niveau du micrologiciel. Il donnait, entre autres effets, la possibilité de créer un espace de stockage « invisible » ne pouvant être chiffré.
Depuis lors, les fabricants de supports de stockage en ont renforcé la sécurité, notamment en vérifiant la signature des mises à jour de firmware.
Sans signature
L'entreprise américaine Eclypsium, spécialiste du domaine, fait remarquer que le problème persiste à plus grande échelle. En l'occurrence, sur nombre d'autres périphériques.
Elle en donne plusieurs illustrations :
En l'absence de vérification d'authenticité, on peut installer, sans privilèges particuliers, un firmware trafiqué.
Pas non plus de vérification d'authenticité. Mais aussi la possibilité de modifier les descripteurs USB à travers l'outil Windows de mise à jour du firmware. Cela permet de désactiver la webcam ou de la faire passer pour un autre périphérique. et ainsi récupérer des informations sur le système.
Windows 10 détecte les firmwares modifiés, le signale dans le gestionnaire de périphériques, mais n'en bloque pas pour autant le chargement.
Qualcomm, fournisseur du chipset, affirme qu'il est conçu de sorte que le CPU doit valider le firmware. Microsoft assure quant à lui que c'est au fournisseur de réaliser la vérification.
Eclypsium met en avant le firmware d'un hub VLI, disponible sur le portail LVFS, qu'exploitent les principales distributions Linux.
Les serveurs aussi
Sur la liste figure aussi une carte d'interface réseau (NIC) : la BCM5719 de Broadcom, utilisée sur de nombreux serveurs actuellement commercialisés.
Les serveurs disposent d'un contrôleur de gestion de la carte mère (BMC).
La communication avec ce processeur de service spécialisé se fait via une connexion indépendante.
De manière générale, les BMC peuvent partager une carte réseau avec le système hôte. Il en résulte deux interfaces logiques dotée chacune d'une adresse MAC.
Dans cette configuration, l'hôte n'est pas censé voir le trafic du BMC. Mais avec un firmware modifié, les choses peuvent changer. D'autant plus que la BCM5719 n'effectue pas de vérification des mises à jour chargées depuis l'hôte.
Cette situation ouvre la porte à une manipulation du trafic réseau du BMC : redirection, modification au vol, inspection des paquets et communication de leur contenu à un malware installé sur l'hôte, etc.
La carte fonctionnant sur PCI, elle peut éventuellement être exploitée pour prendre le contrôle du serveur à travers l'accès direct à la mémoire (DMA).