Les failles de sécurité dans le micrologiciel de votre ordinateur, ce code profondément ancré qui se charge en premier lorsque vous allumez la machine et qui contrôle même le démarrage de son système d’exploitation, sont depuis longtemps la cible des pirates informatiques en quête d’une pénétration furtive. Mais ce type de vulnérabilité n’apparaît que rarement dans le micrologiciel d’un fabricant d’ordinateurs en particulier, mais dans les puces que l’on trouve sur des centaines de millions de PC et de serveurs. Aujourd’hui, des chercheurs en sécurité ont découvert une faille de ce type qui persiste dans les processeurs AMD depuis des décennies et qui permettrait aux logiciels malveillants de s’infiltrer suffisamment profondément dans la mémoire d’un ordinateur pour que, dans de nombreux cas, il soit plus facile de se débarrasser d’une machine que de la désinfecter.
Lors de la conférence de hackers Defcon, Enrique Nissim et Krzysztof Okupski, chercheurs de la société de sécurité IOActive, prévoient de présenter une vulnérabilité des puces AMD qu’ils ont baptisée Sinkclose. Cette faille permettrait aux pirates d’exécuter leur propre code dans l’un des modes les plus privilégiés d’un processeur AMD, connu sous le nom de System Management Mode, conçu pour être réservé uniquement à une partie spécifique et protégée de son firmware. Les chercheurs d’IOActive préviennent qu’elle affecte pratiquement toutes les puces AMD datant de 2006, voire peut-être même avant.
Nissim et Okupski notent que pour exploiter le bug, les pirates informatiques doivent avoir déjà obtenu un accès relativement profond à un PC ou un serveur basé sur AMD, mais que la faille Sinkclose leur permettrait alors d’implanter leur code malveillant bien plus profondément encore. En fait, pour toute machine équipée d’une des puces AMD vulnérables, les chercheurs d’IOActive préviennent qu’un attaquant pourrait infecter l’ordinateur avec un malware connu sous le nom de « bootkit » qui échappe aux outils antivirus et est potentiellement invisible pour le système d’exploitation, tout en offrant à un pirate un accès complet pour altérer la machine et surveiller son activité. Pour les systèmes présentant certaines configurations défectueuses dans la façon dont un fabricant d’ordinateurs a implémenté la fonction de sécurité d’AMD connue sous le nom de Platform Secure Boot (qui, selon les chercheurs, englobe la grande majorité des systèmes qu’ils ont testés), une infection par un malware installé via Sinkclose pourrait être encore plus difficile à détecter ou à corriger, disent-ils, survivant même à une réinstallation du système d’exploitation.
« Imaginez des pirates informatiques d’États-nations ou de quiconque souhaite s’immiscer dans votre système. Même si vous effacez complètement votre disque dur, il sera toujours là », explique Okupski. « Il sera quasiment indétectable et quasiment impossible à corriger. » Selon Okupski, il suffit d’ouvrir le boîtier d’un ordinateur, de se connecter physiquement directement à une certaine partie de ses puces mémoire avec un outil de programmation matériel appelé SPI Flash Programmer et de parcourir méticuleusement la mémoire pour pouvoir supprimer le malware.
Nissim résume le pire des scénarios en termes plus pratiques : « En gros, vous devez jeter votre ordinateur. »
Dans une déclaration partagée avec WIRED, AMD a reconnu les conclusions d’IOActive, a remercié les chercheurs pour leur travail et a noté qu’elle avait « publié des options d’atténuation pour ses produits de centre de données AMD EPYC et ses produits PC AMD Ryzen, avec des atténuations pour les produits intégrés AMD à venir bientôt ». (Le terme « intégré », dans ce cas, fait référence aux puces AMD présentes dans des systèmes tels que des appareils industriels et des voitures.) Pour ses processeurs EPYC conçus pour être utilisés dans des serveurs de centre de données, en particulier, la société a noté qu’elle avait publié des correctifs plus tôt cette année. AMD a refusé de répondre à l’avance aux questions sur la manière dont elle entend corriger la vulnérabilité Sinkclose, ou pour quels appareils exactement et quand, mais elle a pointé une liste complète des produits affectés qui peut être trouvée sur la page des bulletins de sécurité de son site Web.