Les failles de sécurité du hardware

Quand il est question de sécurité informatique, c’est bien souvent sous l’angle du ransomware, du scam ou autre tentative logicielle frauduleuse. La publication par Intel de vulnérabilités touchant différents processeurs confirme que les failles ne concernent pas uniquement les logiciels.

L’année 2018 ne démarre pas du meilleur pied pour Intel. Si tous les détails sont loin d’être connus, une potentielle faille a été trouvée sur ses puces 64 bits de ces… dix dernières années ! Un problème d’architecture dans la mémoire virtuelle ouvrirait les portes à d’éventuels hackers. Un patch Linux aurait déjà été déployé, en attendant la réponse de Windows, patch qui amputerait les performances des CPU de 5 à 30% selon le type de tâche sachant que le problème devrait principalement concerner le cloud computing et les data centers.

Cette actualité récente souligne si besoin était que l’informatique n’est pas uniquement vulnérable d’un point de vue logiciel.
Il y a quelques semaines, Intel a ainsi indiqué la présence de huit importantes failles de sécurité dans plusieurs de ses puces : Core de sixième, septième et huitième générations, Atom C3000, Apollo Lake, Celeron N/J. Le point faible se situe au niveau du firmware de l’Intel Active Management Technology (AMT), d’Intel Small Business Technology et d’Intel Standard Manageability.

Il s’agit d’outils de gestion à distance généralement utilisés par les administrateurs système des grandes entreprises pour gérer un grand nombre d’ordinateurs. L’Intel SBT est l’équivalent pour les petites et moyennes entreprises ayant moins d’appareils à gérer. Pour éviter d’être concerné par ces risques, il est indispensable de mettre à jour le firmware. Le fondeur donne des détails sur cette page en anglais.

Ces failles peuvent être comblées en mettant à jour l’Intel Management Engine (MEI). Il peut l’être séparément ou en même temps que le BIOS, vous devriez trouver tout ce qu’il faut sur les pages de téléchargement des différents constructeurs de cartes mères, portables, barebones …

Ce n’est donc pas la première (et dernière) fois qu’Intel révèle ce genre de vulnérabilités touchant ses outils. En mai 2016, il avait publié un avis de sécurité concernant une vulnérabilité critique. Elle pouvait permettre à un pirate d’accéder à distance à des ordinateurs ou des périphériques commerciaux utilisant ces technologies.

Les ordinateurs grand public équipés d’un firmware grand public peuvent être affectés, l’AMT pouvant être rencontré dans les UEFI de carte-mère à chipset B150, B250… Mais Intel n’est pas le seul concerné. AMD publie régulièrement des avis de sécurité. Quand ce ne sont pas des hackers qui révèlent des failles avant ce fondeur !

L’attaque Rowhammer

La grand-messe du hacking, le Chaos Communication Congress (qui a d’ailleurs fêté ses 30 ans en 2015 à Hambourg !) est souvent l’occasion de découvrir des points critiques dans les logiciels et les matériels en tout genre. Par exemple, il y a un an, des hackers avaient réussi à installer un noyau Linux 4.4 sur la PlayStation 4. Un exploit dû à une vulnérabilité du firmware de la console.

Les failles de sécurité matérielle ne se limitent pas aux ordinateurs. Les smartphones sont aussi concernés. Et on ne parle même pas des objets connectés… (©CC0 Creative Commons)

En janvier 2015, un programmeur tchèque, Rudolf Marek, a révélé une vulnérabilité qui pourrait potentiellement permettre l’exécution de code à distance dans les processeurs x86 (séries Trinity, Richland, Kaveri et Kabini). Des signatures de code n’étaient pas assez bien protégées et certaines erreurs dans le firmware auraient pu être exploitées par des pirates informatiques. Le programmeur avait contacté AMD qui avait confirmé cette faille… deux mois plus tard. Elle a ensuite été corrigée.

Mais les ordinateurs ne sont pas les seules victimes. Les smartphones sont également touchés. L’une des failles matérielles les plus graves a été l’attaque baptisée Rowhammer. Elle concernait les smartphones sous Android.

Présentée en détail en octobre 2016 par Victor van der Veen, doctorant à l’Université d’Amsterdam, cette vulnérabilité permettait d’obtenir un accès root en quelques secondes. Pour parvenir à leurs fins, les pirates pouvaient exploiter une faille dans la conception des puces RAM.

Un article publié (en anglais) par différents chercheurs de cette université explique comment l’attaque Rowhammer peut être utilisée de façon encore plus simple sur les… architectures x86.

Des mugs mais surtout des dollars

Face à ces différentes menaces, des fabricants de matériels, mais aussi des éditeurs de logiciels, n’hésitent pas à faire appel aux compétences de hackers. Certains poids lourds du Net offraient des goodies comme Facebook et Yahoo! qui, respectivement, offraient un mug et un t-shirt…

Pour améliorer la sécurité de leurs matériels ou de leurs logiciels, des entreprises n’hésitent pas à verser des primes à des hackers comme ceux inscrits sur la plate-forme HackerOne.

Plus sérieusement, des plates-formes proposent des primes en dollars. La plus connue s’appelle HackerOne. C’est le leader dans la révélation de vulnérabilités. Plus de 900 organisations (Département de la Défense américain, General Motors, Intel, Twitter, Nintendo, Qualcomm, Square…) sont inscrites sur ce site créé en 2012.

Résultat, environ 50 000 failles ont été repérées et signalées avant qu’elles ne soient exploitées par des pirates ou des États. Pour les hackers, cette prestation peut être intéressante : plus de 20 millions de dollars en primes ont été accordés par cette entreprise installée à San Francisco.

En France, les Bug Bounty commencent à se multiplier. La plus connue s’appelle « Bounty factory ». Il y a aussi des concours ou des plates-formes privés. En novembre dernier, Ledger, spécialisé dans la sécurisation des données et la crypto-monnaie, a lancé son premier Bug Bounty hardware en Europe avec Yogosha.

Ledger veut tester la sécurité de son prototype appelé Nano S. Il s’agit d’un portefeuille hardware sécurisé permettant de gérer une ou plusieurs crypto-monnaies. Parmi les 30 experts issus de la communauté Yogosha, ceux qui réussiront à percer ce coffre-fort numérique pourront toucher une prime de 1,35 bitcoin (soit près de 8500 €).