En plus de celles de MSI, les clés privées divulguées par les pirates mettent également en danger les produits d’autres fabricants de matériel.
Après avoir pénétré dans les systèmes informatiques du fabricant de matériel informatique MSI en avril, des hackers ont fait circuler un grand nombre de clés privées. Ceux-ci permettent parfois aux cybercriminels de signer des micrologiciels infectés par du code malveillant. En conséquence, les appareils concernés les classent comme inoffensifs et les installent sans aucun avertissement.
Le hack MSI d’April n’est pas sans conséquences
Début avril, le fabricant taïwanais de matériel informatique Micro-Star International (MSI) a signalé un incident de sécurité impliquant un groupe de logiciels de rançon appelé « Message d’argent” a pu accéder à l’infrastructure informatique de l’entreprise.
A l’époque, les assaillants réclamaient une rançon de quatre millions de dollars. Ils ont également menacé MSI de publier les 1,5 téraoctets de documents volés de l’entreprise si le groupe ne se conformait pas aux exigences des pirates.
Presque personne ne s’attendait à ce qu’une telle attaque n’ait aucune conséquence. Comme le rapporte Heise, un certain nombre de clés privées hantent désormais Internet. Le fabricant l’a utilisé pour Intel BootGuard et pour signer son firmware.
Des chercheurs trouvent des clés privées MSI sur le Web
Les découvreurs des clés privées volées étaient des chercheurs en sécurité de Binarly. Dès vendredi, ils ont averti dans un tweet que la fuite de données affecterait également les produits d’autres fabricants. Y compris Intel, Lenovo, Supermicro et « beaucoup d’autres de toute l’industrie”.
Plus tard, Alex Matrosov, le PDG de Binarly, connucela à travers le hack MSI aussi »Intel BootGuard est inefficace sur certains appareils”. Il s’agit d’une technologie liée à UEFI Secure Boot. Son but est de s’assurer que le système n’exécute que du code vérifié au démarrage.
Dans ce contexte, Matrosov nomme explicitement les architectures CPU Intel Tiger Lake, Alder Lake et Raptor Lake. Ainsi, la 11e à la 13e génération des processeurs Intel Core répandus.
Les utilisateurs de MSI doivent être extrêmement vigilants maintenant
L’expert en cryptographie de l’Université Johns Hopkins, Matthew Green, a soulevé quelques questions légitimes sur les conséquences du piratage MSI dans la pièce:
« Comment renifler une clé privée OEM pour un système de démarrage de confiance ? Quel genre d’incompétence obtient cette clé pour même arriver à un endroit où elle peut fuir ? Et si cette clé peut être divulguée, quelles clés secrètes ne le seront pas ? »
Sur la base des clés divulguées, les cybercriminels sont désormais en mesure de signer un micrologiciel manipulé. Par conséquent, les produits MSI concernés ne les reconnaîtraient pas comme des contrefaçons, permettant aux pirates d’injecter du code malveillant dans de nombreux ordinateurs. Même la réinstallation du système d’exploitation et le remplacement du disque dur n’aideraient pas à nettoyer le système infecté.
Binarly collecte toutes les clés trouvées jusqu’à présent dans un projet Github accessible au public. En outre, la société répertorie également les innombrables produits MSI qui sont menacés par l’incident de sécurité.
Les utilisateurs de MSI qui souhaitent se protéger d’une éventuelle attaque doivent désormais faire encore plus attention à ne se procurer les mises à jour du firmware que sur le site officiel du fabricant.