Alerte: Faille de sécurité UEFI – LogoFail – Il faut mettre les BIOS à jour !

3 commentaires
Sécurité Internet

Bonsoir le Monde !

Merci à Charly qui m'a signalé ce gros souci pour tous les PC utilisant UEFI !

UEFI est une méthode moderne pour faire démarrer (boot) un PC utilisée sur une large majorité de PC ayant des BIOS Phoenix (ou Award), Insyde et AMI.

Le gros problème est que cette faille de sécurité permet de remplacer facilement l'image (logo), utilisée pendant la phase de démarrage, par une autre contenant du code malveillant qui peut prendre le contrôle total du PC sans être détecté car s'exécutant bien avant que l'Operating System ne soit chargé, contournant aussi les protections Secure Boot et Intel Boot Guard.

Ce sont surtout les PC d'entreprises qui sont le plus exposés, que ce soit des PC Windows ou Linux utilisant UEFI; les PC doivent d'abord être compromis via une autre méthode (comme cliquer sur un e-mail malveillant) avant qu'un pirate puisse remplacer cette image.

Les Mac, y compris ceux utilisant des CPU Intel, ne sont pas impactés.

Les PC utilisant Coreboot ou Libreboot (alternatives Open Source à UEFI) ne sont pas concernés mais il s'agit d'une minorité de systèmes.

Tous les PC Windows sont impactés !

Cette faille existe depuis de nombreuses années mais vient seulement d'être découverte il y a quelques mois. Je n'ai pas trouvé d'information pour savoir si elle a déjà été exploitée par des hackers.

Tous les fabricants de cartes-mères ont fourni ou vont fournir des correctifs mais mettre à jour un BIOS n'est ni automatique ni aussi facile à faire que de mettre à jour un programme ou l'Operating System (Windows, Linux, ...).

Comment faire ? Suivez le guide:

  • Le plus facile est d'utiliser l'utilitaire de mise à jour du fabricant de votre PC si c'est un PC de marque (HP, Lenovo, Dell, Asus, Acer, etc...); ces utilitaires ne se trouvent en général que sous Windows et savent faire une mise à jour du BIOS qui est ce qu'il faut faire ici.
    Note: Windows Update ne sait pas mettre un BIOS à jour, c'est pourquoi il faut utiliser l'utilitaire du fabricant du PC.

Pour les PC sous Linux et/ou assemblés maison et/ou achetés chez un assembleur (LDLC, Alternate, TDH, etc ...), il faudra être ou demander l'aide d'un geek:

  • tout d'abord déterminer la marque et le modèle de la carte-mère de votre PC en installant et exécutant un programme listant tous vos composants matériels (et donc, entre autres, la carte-mère) comme CPU-Z (Windows), CPU-X (Linux) ou autres selon vos éventuelles préférences.
  • ensuite, chercher le site de support de la marque de votre carte-mère sur votre moteur de recherche préféré
  • puis, une fois sur le site de support de la marque de votre carte-mère, chercher le dernier BIOS disponible pour votre modèle de carte-mère
  • vérifier que ce dernier BIOS contient bien une mise à jour pour corriger la faille LogoFail
  • télécharger ce dernier BIOS
  • suivre les instructions de mise à jour du BIOS pour cette marque de carte-mère

Quelques site de support de fabricants de cartes-mères:

Comme d'hab, ne soyez pas trop paranos mais ne faites pas trop l'autruche non plus... Au moins, vous êtes au courant que ça existe...

Li P'ti Fouineu vous salue bien !

 

Marqué avec , , , , , ,

3 commentaires

  • Charly
    02/02/2024 20:16

    Une solution est de ne pas charger de logo et le paramétrer ainsi dans le BIOS : les vieux de la vieille connaissent les PC où c’était uniquement du texte au démarrage -> c’était les messages POST, sans logo de la marque.

    Pour ma carte mère Asrock, mais cela devrait être ressemblant pour toute les carte mère (mettez le BIOS en anglais pour obtenir les mêmes textes que ci-dessous) :

    1. Se rendre dans le BIOS : pianotez sur la touche DEL = Supprimer (ou F2) en continu au démarrage du PC
    2. Section « BOOT »
    3. Modifier « Full Screen Logo » en « Disable »
    4. F10 pour sortir -> « Save changes and exit »

    ATTENTION : Tant que le BIOS n’est pas mis à jour, ce mode ne devrait pas changer, par contre lors d’une mise à jour, par défaut, le logo est affiché donc sur « Enable ».

    Un exemple en image pour la carte mère Asrock PG 650M Riptide (pages 80 et 81) : https://download.asrock.com/Manual/Software/AMD%20B650/Software_BIOS%20Setup%20Guide_English.pdf … comme dit plus haut, le principe est le même pour toutes les cartes mères !

    J’utilise cette méthode la majorité du temps, mais parfois j’oublie de le refaire lorsque je mets mon BIOS à jour, ensuite trop fainéant de retourner dans le BIOS (à un moment donné je le fais tout de même) … pas bien 🙂

    Répondre
  • Charly
    02/02/2024 23:27

    Un petit complément d’information car j’ai oublié de donner le point suivant :

    5. Cliquer sur « Yes » après le F10 pour valider 🙂

    Pour les moins initiés ou si vous ne parvenez pas à entrer dans votre UEFI, il y a moyen d’y arriver via le W10 ou W11 : c’est identiquement la même manière de faire !
    Je ne vais pas l’expliquer, mais donner un lien vers petit tuto vidéo : https://www.youtube.com/watch?v=dNfJczezEn4
    Il y a encore d’autres méthodes, mais celle-ci est la plus facile et identique pour W10 et W11.

    @ Li P’ti Fouineu : je viens de découvrir que l’on ne dit pas BIOS UEFI, mais BIOS ou UEFI : ce sont 2 microprogrammes différents -> BIOS étant le Legacy (ancienne version) avec MBR et UEFI le nouveau avec GPT … un petit détail bon à savoir 🙂
    https://www.youtube.com/watch?v=fmQfkBir_UE

    Répondre
    • Li P'ti Fouineu
      03/02/2024 00:00

      Je savais pour BIOS et UEFI mais même la litérature spécialisée continue de parler de BIOS, de même que les sites de support des cartes-mères …

      Merci Charly !

      Li P’ti Fouineu

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *