Les experts en cybersécurité de CyberCX basés en Nouvelle-Zélande ont détaillé et démontré un moyen d’une simplicité alarmante d’accéder de manière cohérente aux anciens ordinateurs portables verrouillés par le BIOS. Dans le billet de blog lié et la démo vidéo, un cadre de la société a expliqué comment court-circuiter certaines broches de la puce EEPROM avec un simple tournevis pour accéder à un BIOS entièrement déverrouillé. Ensuite, tout ce qu’il fallait, c’était un coup d’œil rapide dans l’écran des paramètres du BIOS pour désactiver complètement tout mot de passe du BIOS.
Avant d’aller plus loin, il convient de souligner que la démonstration de contournement du mot de passe du BIOS de CyberCX a été effectuée sur plusieurs ordinateurs portables Lenovo qu’il avait retirés du service. Le blog montre que le contournement facilement reproductible est viable sur le Lenovo ThinkPad L440 (lancé Q4 2013) et le Lenovo ThinkPad X230 (lancé Q3 2012). D’autres modèles et marques d’ordinateurs portables et de bureau qui ont une puce EEPROM séparée où les mots de passe sont stockés peuvent être également vulnérables.
Certains d’entre vous savent qu’il existe un grand nombre de bons ordinateurs portables d’occasion vendus comme pièces de rechange, car ils ne peuvent pratiquement pas être réutilisés en raison d’un verrouillage du BIOS en place. Les propriétaires individuels ou les organisations peuvent avoir négligé de documenter ces mots de passe, les avoir oubliés, etc. – mais les systèmes, qui sont également généralement dépouillés de leurs disques durs et/ou SSD, ne sont pas aussi précieux sur le marché de l’occasion qu’ils pourraient l’être. CyberCX a réfléchi à son ancien équipement informatique qui avait été verrouillé par un mot de passe et s’est demandé s’il était possible d’essayer d’obtenir à nouveau un accès complet au matériel pour l’utiliser comme pièces de rechange ou machines de test.
Après avoir lu divers articles de documentation et de recherche, CyberCX savait qu’il devait suivre le processus suivant sur ses ordinateurs portables Lenovo verrouillés par le BIOS :
- Localisez la bonne puce EEPROM.
- Localisez les broches SCL et SDA.
- Court-circuitez les broches SCL et SDA au bon moment.
La vérification des puces à l’aspect probable sur la carte mère et la recherche des numéros de série permettent finalement de cibler la bonne EEPROM. Dans le cas du ThinkPad L440, la puce est marquée L08-1 X (ce n’est peut-être pas toujours le cas).
Une vidéo intégrée dans le billet de blog CyberCX montre à quel point ce « piratage » est facile à faire. Court-circuiter les broches de la puce L08-1 X nécessite quelque chose d’aussi simple qu’une pointe de tournevis maintenue entre deux des pattes de la puce. Ensuite, une fois que vous entrez dans le BIOS, vous devriez constater que toutes les options de configuration sont ouvertes pour être modifiées. On dit qu’il faut un certain timing, mais le timing n’est pas si serré, donc il y a une certaine latitude. Vous pouvez regarder la vidéo pour un peu de « technique ».
CyberCX inclut une analyse assez approfondie du fonctionnement de son hack BIOS et explique que vous ne pouvez pas simplement court-circuiter les puces EEPROM immédiatement lorsque vous allumez la machine (d’où la nécessité d’un timing).
Certains lecteurs peuvent s’interroger sur leurs propres ordinateurs portables ou machines verrouillées par le BIOS qu’ils ont vus sur eBay, etc. CyberCX indique que certaines machines modernes avec les packages BIOS et EEPROM dans un seul périphérique de montage en surface (SMD) seraient plus difficiles à pirater de cette manière, nécessitant une « attaque hors puce ». La société de cybersécurité affirme également que certains fabricants de cartes mères et de systèmes utilisent en effet déjà un SMD intégré. Ceux qui s’inquiètent particulièrement pour leurs données, plutôt que pour leur système, devraient implémenter « le chiffrement complet du disque [to] empêcher un attaquant d’obtenir des données à partir du lecteur de l’ordinateur portable », explique l’équipe de sécurité.
CyberCX laisse entendre qu’il poursuivra les recherches ci-dessus. Peut-être qu’il cherchera à pouvoir lire le mot de passe du BIOS en clair à partir de l’EEPROM, ou vérifiera la viabilité de son piratage de tournevis sur plus de machines.