Une importante fuite de code source a eu lieu autour de l’architecture Alder Lake d’Intel. Elle concerne la construction et l’optimisation des BIOS / UEFI.
La publication représente environ 6 Go de données désormais accessibles en ligne (4chan et GitHub). C’est une base de code colossale sachant que les fichiers prennent peu de place. Il est probable que nous ayons également droit à de la documentation. Il n’y a pas cependant pas de certitude pour le moment. Nous n’avons pas pu le vérifier pas nous-mêmes car le contenu a été supprimé.
Notre confrère Tom’s Hardware a contacté un représentant d’Intel au sujet de cette affaire. Le géant du processeur déclare
Notre code UEFI propriétaire semble avoir été divulgué par un tiers. Nous ne pensons pas que cela expose de nouvelles vulnérabilités de sécurité car nous ne nous appuyons pas sur l’obscurcissement des informations comme mesure de sécurité. Ce code est couvert par notre programme de bug bounty dans le cadre de la campagne Project Circuit Breaker, et nous encourageons tous les chercheurs qui pourraient identifier des vulnérabilités potentielles à attirer notre attention sur ce programme. Nous tendons la main aux clients et à la communauté de la recherche en sécurité pour nous tenir informé de cette situation.
Pour le moment il n’y a pas de certitude autour de l’identité de la source. Les hypothèses se tournent cependant vers des fournisseurs chinois à l’origine de la création de logiciels pour Lenovo. Il est rapporté que le référentiel GitHub, désormais supprimé mais déjà largement répliqué, a été créé par un employé de LC Future Center. Il s’agit d’un ODM basé en Chine fabricant d’ordinateurs portables pour plusieurs OEM dont Lenovo. Selon Tom’s Hardware l’un des documents divulgués fait référence à « Lenovo Feature Tag Test Information ». Il existe auss une pléthore de fichiers étiquetés « Insyde », référence à Insyde Software, une société qui fournit un micrologiciel BIOS / UEFI aux OEM et connus pour fonctionner avec les appareils Lenovo.
Voilà ce qu’il en coûte “d’investir” en Chine sans compter sur les
coupures énergétiques sur le site d’assemblage de Chengdu…