Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Mal implémenté par les OEM, le Secure Boot de Windows 8 a été contourné

Défauts dans la cuirasse

Le Secure Boot est une fonctionnalité de la norme UEFI permettant de bâtir une chaine de lancement dont l’intégrité est vérifiée. Utilisé par Windows 8, il doit empêcher des malwares de s’infiltrer lors du démarrage du système. Mais des faiblesses dans l’implémentation qui en est faite par les constructeurs ouvrent la voie à des failles de sécurité.

secure boot

Une mise en oeuvre pointée du doigt 

La norme UEFI (Unified Extensible Firmware Interface) qui remplace désormais les anciens BIOS, permet la mise en place de plusieurs mécanismes de sécurité. Parmi eux, le Secure Boot, qui permet d’attacher aux éléments impliqués dans le démarrage de la machine une signature numérique. Cette dernière est nécessaire pour que l’intégrité de la chaine soit vérifiée. Toute modification brise cette intégrité et l’utilisateur est averti du problème.

 

La conférence Black Hat, qui avait lieu la semaine dernière à Las Vegas, a été le théâtre de plusieurs révélations sur l’implémentation faite du Secure Boot. Trois chercheurs en sécurité, Andrew Furtak, Oleksandr Bazhaniuk et Yuriy Bulygin, ont ainsi fait la démonstration de plusieurs failles de sécurité permettant de contourner la protection. Mais le problème ne réside pas directement dans cette dernière : les constructeurs font parfois preuve de légèreté dans sa mise en œuvre.

En espace kernel ou utilisateur 

C’est le cas notamment d’ASUS, dont l’implémentation du Secure Boot fait défaut sur le plan de la sécurité. La première faille exploitée a permis en effet de modifier la clé qui sert à la vérification des signatures numériques des composants. Cette fameuse clé est dans le cas présent insuffisamment protégée et est modifiable dès lors que l’exécutable frelaté peut être exécuté avec suffisamment de privilèges, ce qui limite d’ailleurs la portée de l’attaque.

 

Notez que cette faille a été révélée il y a plus d’un an et que le constructeur a depuis mis à jour la plupart de ses cartes mères. Mais certaines machines telles que le portable VivoBook Q200E sont toujours vulnérables.

 

La deuxième faille vient là encore d’une mauvaise implémentation du Secure Boot par les constructeurs. Elle est d’ailleurs plus dangereuse car son exploitation peut se faire en espace utilisateur depuis une faille tierce présente dans Flash, Java, Office ou n’importe quelle autre application. Du fait de privilèges nécessaires moindres, la brèche est plus dangereuse et les chercheurs n’ont pas souhaité donner trop de détails techniques.

Qu'importe la technologie, l'implémentation est capitale

Ces deux failles font partie d’un lot plus important de problèmes de sécurité liés au Secure Boot. Selon les chercheurs, tous les constructeurs ont été prévenus, de même que Microsoft et l’UEFI Forum, l’organisme qui se charge de gérer les caractéristiques de la norme. Seule Microsoft a réagi, la firme indiquant simplement qu’elle travaillait « avec les partenaires pour s’assurer que le Secure Boot fournissait une grande protection » aux clients.

 

En dépit des problèmes dans la mise en œuvre de la technologie, les chercheurs ont cependant assuré qu’elle était un bon pas en avant. Tant que la chaine d’intégrité n’est pas brisée, aucun bootkit ne peut s’insérer dans le démarrage de la machine. Yuriy Bulygin a notamment indiqué qu’il s’agissait d’une barrière supplémentaire, là où les anciens systèmes laissaient quartier libre à certains types de malwares.

95 commentaires
Avatar de raoudoudou INpactien
Avatar de raoudoudouraoudoudou- 06/08/13 à 09:27:57

L'histoire est un éternel recommencement :D

Avatar de Edtech Abonné
Avatar de EdtechEdtech- 06/08/13 à 09:29:08

L'UEFI de la Surface RT a été mise à jour la semaine dernière, mais pas moyen de savoir quelles sont les modifications apportées.

Pour ASUS, il y a une mise à jour de l'UEFI environ tous les deux mois, donc bon suivi comparé aux BIOS que j'avais chez Gigabyte.

Avatar de DownThemAll Abonné
Avatar de DownThemAllDownThemAll- 06/08/13 à 09:31:48

Petite question : les mises à jour des UEFI ça se passe comment ? Même procédé que les mises à jour de bios où la manière de procéder à été revue?

Avatar de Edtech Abonné
Avatar de EdtechEdtech- 06/08/13 à 09:36:22

DownThemAll a écrit :

Petite question : les mises à jour des UEFI ça se passe comment ? Même procédé que les mises à jour de bios où la manière de procéder à été revue?

Chez ASUS (je ne connais que ce cas), tu mets le fichier sur une clef USB, tu vas dans le mode avancé de l'UEFI et tu as un menu mise à jour. Et ça se débrouille ensuite.

Avatar de arno53 INpactien
Avatar de arno53arno53- 06/08/13 à 09:39:06

Par contre ca implique une màj du bios bien plus risqué et complexe qu'un simple windows update...

Ah et pour parer les troll Anti-Micro$oft ça revient à avoir un bootloader déverrouillé qui est utile pour installer une distribution Linux ou une ROM Android... Au final on revient au cas de Windows 7 et donc la possible installation de bootkit/rootkit

Avatar de tazvld Abonné
Avatar de tazvldtazvld- 06/08/13 à 09:42:38

En même temps, c'est pas comme si c'était prévisible. C'est comme dire que la PS-Box sera inviolable.

DownThemAll a écrit :

Petite question : les mises à jour des UEFI ça se passe comment ? Même procédé que les mises à jour de bios où la manière de procéder à été revue?

Tout pareil. Sur ma carte Asus j'ai 3-4 possibilité : par un programme sous Windows, par une clé USB sur le bon port USB et en appuyant sur le bouton de mise a jour de l'UEFI (sur la carte mère) sur une clé USB est en l'installant à partir du menu de l'UEFI et une dernière que je ne sais plus qui permet de faire le flashage même après avoir cramé l'UEFI.

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 06/08/13 à 09:46:02

arno53 a écrit :

Par contre ca implique une màj du bios bien plus risqué et complexe qu'un simple windows update...

Les majs d'UEFI sont bien plus simple que celles du BIOS.

Avatar de DownThemAll Abonné
Avatar de DownThemAllDownThemAll- 06/08/13 à 09:48:18

Merci Edtech et tazvld :inpactitude:

C'est quand même un peu facilité alors, c'est bien, surtout s'il faut boucher les trous tous les 4 matins :D

Avatar de charon.G INpactien
Avatar de charon.Gcharon.G- 06/08/13 à 09:50:18

Pour le premier exploit il faut être en kernel mode. Vu que le driver a besoin d'être signé numériquement avec un cross certificat de Microsoft, ca limite pas mal l'exploitation.

Pour le deuxième exploit il n'y a pas d'information mais dans l'avenir même le win32 devrait être sandboxé. L'accès au système va devenir réèllement compliqué.
pas sur non plus que le deuxième exploit marche sur Windows RT.

Avatar de Strimy Abonné
Avatar de StrimyStrimy- 06/08/13 à 09:51:46

arno53 a écrit :

Par contre ca implique une màj du bios bien plus risqué et complexe qu'un simple windows update...

Ah et pour parer les troll Anti-Micro$oft ça revient à avoir un bootloader déverrouillé qui est utile pour installer une distribution Linux ou une ROM Android... Au final on revient au cas de Windows 7 et donc la possible installation de bootkit/rootkit

Sur les tablettes RT, c'est aussi fait par Windows Update.

Il n'est plus possible de commenter cette actualité.
Page 1 / 10