Intel a confirmé que son code UEFI propriétaire pour ses processeurs de 12e génération a été divulgué. Le fichier de 6 Go, publié sur 4chan et Github, contient des informations concernant la création et l’optimisation du code BIOS pour les puces Alder Lake, cependant, Intel ne soupçonne pas que cela exposera de nouvelles vulnérabilités de sécurité.
Le code source d’Intel Alder Lake a été divulgué en ligne. * Le processeur Alder Lake est sorti le 4 novembre 2021 * Le code source est de 2,8 Go (compressé) * Fuite (prétendument) de 4chan * Nous n’avons pas examiné l’intégralité de la base de code , c’est énorme8 octobre 2022
« Notre code UEFI propriétaire semble avoir été divulgué par un tiers », a déclaré un porte-parole d’Intel à Tom’s Hardware. (s’ouvre dans un nouvel onglet).
« Nous ne pensons pas que cela expose de nouvelles vulnérabilités de sécurité car nous ne nous appuyons pas sur l’obscurcissement des informations comme mesure de sécurité. Ce code est couvert par notre programme de primes de bogues dans le cadre de la campagne Project Circuit Breaker, et nous encourageons tous les chercheurs qui pourraient identifier un potentiel vulnérabilités pour attirer notre attention à travers ce programme. Nous contactons à la fois les clients et la communauté des chercheurs en sécurité pour les tenir informés de cette situation.
Il semble que la stratégie d’Intel soit d’éviter d’avoir un « code secret » dans le cadre de la sécurité de son processeur. J’imagine que c’est principalement pour éviter une situation comme celle-ci aujourd’hui, où ledit code pourrait, s’il est entre de mauvaises mains, faire de la viande hachée de la sécurité de son processeur. La société semble assez convaincue que cette fuite ne devrait pas poser de menace pour la sécurité.
La déclaration d’Intel suggère qu’un tiers est responsable de la diffusion des fichiers, plutôt qu’un piratage de ses propres systèmes internes. En tant qu’utilisateur de Twitter StyK (s’ouvre dans un nouvel onglet) et la note du rapport Tom’s Hardware, le référentiel Github a été créé par un employé du LC Future Center, un fabricant d’ordinateurs portables basé en Chine, et des parties du code mentionnent Lenovo, l’un des clients du LC Future Center. Cependant, cette connexion n’a pas été confirmée par Intel ou ailleurs.
Les fichiers UEFI exposés continueront de préoccuper les chercheurs en sécurité, même si finalement Intel estime que ses processeurs seront toujours à l’abri des acteurs néfastes. L’UEFI travaille en tandem avec le système d’exploitation pour appliquer les principes de sécurité fondamentaux au sein de Windows et pour garantir que les exploits n’accèdent pas aux informations privées. Il semble déjà que les chercheurs en sécurité portent une attention particulière aux fichiers divulgués pour voir ce qu’ils peuvent découvrir.
Ceux qui découvrent des vulnérabilités dans le code peuvent également prétendre à une récompense en espèces. Intel mentionne que le code est couvert par sa campagne Project Circuit Breaker, qui est un autre nom pour son programme de primes aux bogues. Il y a un « Code Challenge » spécifique en place pour cette fuite de BIOS particulière. Ça s’appelle « Alders & Seekers (s’ouvre dans un nouvel onglet)« .
« En raison de la divulgation non autorisée du code UEFI propriétaire d’Intel pour Alder Lake, nous ouvrons la campagne privée Alders & Seekers bug bounty à tous les chercheurs en sécurité. De plus, nous avons prolongé la date de fin de cette campagne du 15 octobre 2022 à 9h00 US heure de l’Est le 20 janvier 2022. La politique standard du programme Intel(R) Bug Bounty s’applique à cette campagne.
Donc, s’il y a des failles dans la sécurité d’Alder Lake qui résultent de cette fuite, nous espérons qu’elles seront corrigées avant qu’elles ne soient plus répandues à la suite de la prime aux bogues. Ces programmes peuvent être très payants, en fonction de la gravité du bogue, ce qui attire souvent des experts en sécurité qualifiés pour apporter leur aide.
En attendant, cela ne devrait pas être une source de préoccupation immédiate pour les joueurs sur PC utilisant un processeur Intel Core i9 12900K ou un autre processeur de 12e génération. Alors ne vous inquiétez pas. S’il y a de telles raisons de s’inquiéter à l’avenir, s’assurer que votre système est à jour et exécuter les dernières mesures d’atténuation s’avérera souvent la meilleure défense contre ces types d’exploits.