23 grosses failles de sécurité ont été découvertes dans le BIOS/UEFI des PC Intel, Microsoft et Dell

Des experts en sécurité de la société Binarly viennent de découvrir plus d'une vingtaine de vulnérabilités dans l'UEFI (Unified Extensible Firmware Interface) des PC. Parmi les fabricants d'ordinateurs concernés, on compte Acer, Microsoft, Dell ou encore HP.

UEFI BIOS Faille securite
Crédit photo : Unsplash

Les chercheurs de l'entreprise Binarly ont visiblement mis à jour un problème qui risque de toucher un très grand nombre de PC à travers la planète. Selon eux, le firmware UEFI InsydeH2O est touché par 23 failles de sécurité. Or, ce firmware est utilisé par la plupart des fabricants d'ordinateurs et de cartes-mères.

Ainsi, les constructeurs suivants sont potentiellement concernés par les failles de sécurité en question, certains ayant même déjà confirmé la présence des failles de sécurité dans le matériel :

  • Acer
  • AMD
  • ASUS
  • Dell
  • Fujitsu
  • HP
  • Intel
  • Lenovo
  • Microsoft
  • Siemens

Plus d'une vingtaine de failles de sécurité découvertes dans l'UEFI des PC

L'UEFI, c'est cette interface présente désormais sur toutes les cartes-mères et qui vous permet de contrôler les composants de votre PC, de gérer l'alimentation, de spécifier l'ordre de démarrage des unités, etc. Voilà une quinzaine d'années que l'UEFI tend à remplacer le BIOS, dont la mort a été annoncée par Intel en 2017.

L'UEFI est vital au bon fonctionnement de votre ordinateur et intervient en amont du système d'exploitation. Selon Binarly, 23 failles de sécurité ont été découvertes dans le firmware InsydeH2O, lequel est conçu par l'entreprise Insyde, l'un des principaux fournisseurs de micrologiciel UEFI et de contrôleur de carte.

Exploitation faille UEFI

La plupart de ces failles concernent le System Management Mode (SMM) de l'UEFI, un mode de gestion du matériel et de l'alimentation qui dispose de privilèges élevés. Selon Binarly, 10 des failles peuvent être exploitées dans le cadre d'une attaque avec élévation des privilèges, tandis que 12 des vulnérabilités découvertes sont susceptibles de corrompre la mémoire. Une dernière faille concerne la gestion du Driver eXecution Environnement (DXE).

Un attaquant qui parviendrait à exploiter une faille dans le SMM pourrait alors désactiver les options de sécurité initiées au démarrage du PC comme SecureBoot ou IntelBootGuard. Il aurait également la possibilité d'installer un malware quasi impossible à supprimer, ou de créer une backdoor et de voler des données personnelles.

A lire aussi : comment accéder au BIOS ou à l'UEFI du PC

Comment vérifier que l'UEFI de son PC n'est pas touché par une faille de sécurité ?

Insyde, Fujitsu et Intel ont d'ores et déjà confirmé que leur matériel était bel et bien touché par les différentes vulnérabilités. Les constructeurs Rockwell, Supermicro et Toshiba assurent quant à eux ne pas être concernés par ces failles de sécurité de l'UEFI. Si Insyde a déjà mis à jour ses firmwares, il faudra attendre que chaque fabricant les prennent considération pour ses PC. Ce qui peut nécessiter beaucoup de temps, sans compter sur le fait que certains matériels sont aujourd'hui obsolètes et que la mise à jour ne sera probablement pas prise en charge par leur constructeur.

Binarly met à disposition un petit outil baptisé FwHunt permettant d'analyser le firmware de l'UEFI de votre PC. Il s'agit d'un petit script en python téléchargeable sur Github. Prenez soin de récupérer celui qui correspond au fabricant de votre PC et d'exécuter la commande adéquate, comme dans l'exemple ci-dessous.

Detection faille UEFI

Source : Binarly


Réagissez à cet article !

Demandez nos derniers articles !

Disney+ à seulement 4,99 € / mois pendant 3 mois : attention cette offre est à durée limitée !

Vous cherchez des occupations pour les vacances ? Bonne nouvelle ! Disney+ vient de dévoiler sa nouvelle offre promotionnelle. Pendant 3 mois, vous n’aurez qu’à débourser 4,99 euros par mois…

Jeu-concours Fiido : tentez de remporter un vélo électrique dernier cri !

Vous rêvez de passer à l’électrique pour vos trajets quotidiens ou vos escapades du week-end ? Ou vous possédez déjà un vélo électrique, mais vous souhaitez passer sur un modèle…

iPhone 13 Mini : le smartphone compact parfait pour les petites mains est à 262 € seulement, c’est une affaire !

Les smartphones modernes sont beaucoup trop gros à votre goût ? Bonne nouvelle, pendant les Soldes, vous pouvez trouver l’excellent iPhone 13 Mini à prix cassé. Grâce à un code…

AliExpress brade de nombreux produits pour les vacances : voici les meilleures offres à saisir

AliExpress relance une grosse opération dénommée « Promos des vacances ». Les offres concernent plusieurs catégories de produits : smartphones, tablettes, casques et écouteurs ou encore montres connectées. Voici les…

L’UE oblige Google à ouvrir Android aux assistants IA concurrents

L’UE a rendu deux décisions contre Google, qui va devoir ouvrir Android aux assistants IA concurrents et partager les données de Search avec les moteurs de recherche tiers. La Commission…

Pixel 11 : le Pixel Glow sera la grande nouveauté, mais qu’est-ce que c’est ?

Google s’apprête à lancer ses nouveaux smartphones, de la série Pixel 11. Cette génération apporte une nouveauté majeure, le Pixel Glow. A quoi faut-il s’attendre ? On sait depuis la…

Linus Torvalds a changé d’avis sur l’IA et envoie balader les développeurs qui veulent la bannir de Linux

Le créateur de Linux jugeait l’intelligence artificielle gonflée au marketing il y a encore deux ans. Son discours a radicalement changé depuis, au grand dam d’une partie de sa communauté….

Panne Spotify : impossible d’écouter de la musique pour de nombreux utilisateurs, les morceaux s’arrêtent en plein milieu

Les utilisateurs de Spotify se retrouvent dans la tourmente depuis environ 14 h aujourd’hui, alors que le service de streaming a subitement cessé de fonctionner. Chez certains d’entre eux, la…

Le ciel nous tombe sur la tête ? Cette météorite a traversé un toit, mais elle pourrait être la clé des origines de la vie sur Terre

Il y a deux ans, une météorite s’est écrasée dans une maison du New Jersey. Sa préservation exceptionnelle a permis aux chercheurs de révéler ses secrets, de sa constitution à…

Bon plan Insta360 X5 : plus de 250 € de remise pendant les Soldes d’été, il va falloir faire vite !

Depuis plusieurs années, les caméras 360 sont de plus en plus populaires. Elles permettent de faire des contenus originaux tout en bénéficiant d’un format très compact. La caméra Insta360 X5…