Cartes mèressecurite-informatique

Secure Boot, MSI sort du silence concernant le problème de sécurité de ses cartes mères

Il concerne 300 modèles

MSI vient de sortir du silence concernant le problème de sécurité affectant ses cartes mère. Voici sa déclaration

MSI a implémenté le mécanisme de démarrage sécurisé dans nos produits de carte mère en suivant les instructions de conception définies par Microsoft et AMI avant le lancement de Windows 11.

Nous définissons de manière préventive le démarrage sécurisé comme activé et « Toujours exécuter » comme paramètre par défaut pour offrir un environnement convivial qui permet à plusieurs utilisateurs finaux de construire leurs systèmes PC avec des milliers (ou plus) de composants qui incluaient leur ROM optionnelle intégrée, y compris les images du système d’exploitation, ce qui se traduit par des configurations de compatibilité plus élevées.

Pour les utilisateurs qui sont très préoccupés par la sécurité, ils peuvent toujours définir « Politique d’exécution d’image » comme « Refuser l’exécution » ou d’autres options manuellement pour répondre à leurs besoins de sécurité.

En réponse au rapport de problèmes de sécurité avec les paramètres de bios prédéfinis, MSI déploiera de nouveaux fichiers BIOS pour nos cartes mères avec « Deny Execute » comme paramètre par défaut pour les niveaux de sécurité plus élevés. MSI conservera également un mécanisme de démarrage sécurisé entièrement fonctionnel dans le BIOS pour les utilisateurs finaux afin qu’ils puissent le modifier en fonction de leurs besoins.

Vous pouvez retrouver la liste complète des cartes mères MSI affecté par ce problème ici : MSI has very insecure Secure Boot defaults


Actualité du 19/01/23

Un chercheur en sécurité à découvert qu’au moins 300 modèles de cartes mères MSI ont un problème avec la fonction Secure Boot avec certains firmware UEFI.

La fonctionnalité de démarrage sécurisé UEFI est pensée pour empêcher l’exécution d’un code malveillant durant le démarrage de la machine. Il s’agit d’un élément essentiel de sécurité depuis de nombreuses années. Elle est prise en charge par Windows 8 et plus récent. Cette norme de sécurité PC permet de garantir que les périphériques démarrent uniquement les logiciels approuvés par le fabricant du matériel. Elle s’appuie sur un microprogramme censé vérifier la signature cryptographique de chaque logiciel de démarrage, y compris les pilotes de microprogramme UEFI, les applications EFI et le système d’exploitation.

Dawid Potocki, étudiant en informatique basé en Nouvelle-Zélande et chercheur en cybersécurité, a découvert en décembre dernier qu’au moins 300 modèles de cartes mères de MSI ont une implémentation de démarrage sécurisé défectueuse avec certaines versions de leur micrologiciel UEFI. C’est un gros problème car cela permet de charger à peu près n’importe quelle image de démarrage. La bonne nouvelle est que cette défaillance n’est pas généralisée. Elle touche que certaines versions du microprogramme UEFI publiées en version bêta.

Ce bug a été découvert lorsque Dawid Potocki a constaté que sa carte mère Pro Z790-A WiFi ne vérifiait pas les binaires de démarrage de la signature cryptographique au moment du démarrage du PC. Il explique

J’ai constaté que mon firmware était capable d’ accepter chaque image du système d’exploitation que je lui ai donnée, qu’on lui fasse confiance ou non.

Un complément de recherche a alors permis de constater que près de 300 modèles de cartes mères MSI ont une implémentation de démarrage sécurisé défectueuse. A noter que les ordinateurs portables de la marque ne sont pas concernés. Le problème touche que les cartes mères pour les ordinateurs de bureau.

Il est ajouté que les cartes mères MSI affectées ont une politique du « toujours exécuter » définie pour le démarrage sécurisé. Selon The Register MSI est pour le moment resté muet face aux alertes de Dawid Potocki.

Jerome G

Issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page