Page d'accueil » comment » Pourquoi le micrologiciel UEFI de votre PC nécessite des mises à jour de sécurité

    Pourquoi le micrologiciel UEFI de votre PC nécessite des mises à jour de sécurité

    Microsoft vient d’annoncer Project Mu, promettant un «micrologiciel en tant que service» sur du matériel pris en charge. Chaque fabricant de PC devrait en prendre note. Les ordinateurs ont besoin de mises à jour de sécurité pour leur microprogramme UEFI et les fabricants d’ordinateurs n’ont guère fourni les mêmes informations..

    Qu'est-ce que le firmware UEFI??

    Les PC modernes utilisent un micrologiciel UEFI au lieu d’un BIOS traditionnel. Le micrologiciel UEFI est le logiciel de bas niveau qui démarre lorsque vous démarrez votre PC. Il teste et initialise votre matériel, effectue une configuration système de bas niveau, puis démarre un système d'exploitation à partir du lecteur interne de votre ordinateur ou d'un autre périphérique de démarrage..

    Cependant, UEFI est un peu plus compliqué que l'ancien logiciel BIOS. Par exemple, les ordinateurs équipés de processeurs Intel ont un système appelé Intel Management Engine, qui est fondamentalement un système d'exploitation minuscule. Il fonctionne en parallèle avec Windows, Linux ou tout autre système d'exploitation que vous utilisez sur votre ordinateur. Sur les réseaux d'entreprise, les administrateurs système peuvent utiliser les fonctionnalités d'Intel ME pour gérer leurs ordinateurs à distance..

    UEFI contient également le «microcode» du processeur, qui est un peu comme un microprogramme pour votre processeur. Lorsque votre ordinateur démarre, il charge le microcode à partir du microprogramme UEFI. Pensez-y comme un interprète qui traduit les instructions du logiciel en instructions matérielles exécutées sur le CPU..

    Pourquoi le firmware UEFI a besoin de mises à jour de sécurité

    Les dernières années ont montré à maintes reprises pourquoi le micrologiciel UEFI nécessitait des mises à jour de sécurité rapides.

    Nous avons tous entendu parler de Spectre en 2018, illustrant les graves problèmes architecturaux posés par les processeurs modernes. Des problèmes liés à une "exécution spéculative" signifiaient que les programmes pouvaient échapper aux restrictions de sécurité standard et lire des zones de mémoire sécurisées. Les mises à jour requises du microcode du processeur de Spectre pour fonctionner correctement. Cela signifie que les fabricants de PC ont mis à jour tous leurs ordinateurs portables et de bureau et les fabricants de cartes mères ont mis à jour toutes leurs cartes mères avec le nouveau micrologiciel UEFI contenant le microcode mis à jour. Votre ordinateur n’est pas suffisamment protégé contre Spectre à moins d’avoir installé une mise à jour du micrologiciel UEFI. AMD a également publié des mises à jour du microcode pour protéger les systèmes dotés de processeurs AMD contre les attaques de Spectre. Ce n'est donc pas qu'une affaire d'Intel..

    Le moteur de gestion d'Intel a détecté des problèmes de sécurité qui pouvaient laisser des attaquants disposant d'un accès local à l'ordinateur pirater le logiciel Management Engine ou laisser un attaquant disposant d'un accès distant causer des problèmes. Heureusement, les exploits distants ne concernaient que les entreprises qui avaient activé la technologie Intel Active Management (AMT), de sorte que les consommateurs moyens ne sont pas affectés..

    Ce ne sont que quelques exemples. Des chercheurs ont également démontré qu'il était possible d'abuser du micrologiciel UEFI sur certains ordinateurs, en l'utilisant pour obtenir un accès approfondi au système. Ils ont même présenté des ransomwares persistants permettant d'accéder au micrologiciel UEFI d'un ordinateur et fonctionnant à partir de là..

    L'industrie devrait mettre à jour le micrologiciel UEFI de chaque ordinateur, comme tout autre logiciel, pour se protéger contre ces problèmes et autres failles similaires à l'avenir..

    Comment le processus de mise à jour a été interrompu pendant des années

    Le processus de mise à jour du BIOS a été un fouillis interminable bien avant l’UEFI. Traditionnellement, les ordinateurs livrés avec ce BIOS de la vieille école étaient moins performants. Les fabricants de PC peuvent envoyer quelques mises à jour du BIOS pour résoudre des problèmes mineurs, mais le conseil habituel était d'éviter de les installer si votre PC fonctionnait correctement. Vous deviez souvent démarrer à partir d'un lecteur DOS amorçable pour flasher la mise à jour du BIOS, et tout le monde a entendu parler de l'échec des mises à jour du BIOS et de la panique des PC, les rendant ainsi impossibles à démarrer..

    Les choses ont changé. Le micrologiciel UEFI en fait beaucoup plus, et Intel a publié plusieurs mises à jour importantes, telles que le microcode CPU et Intel ME, ces dernières années. Chaque fois qu'Intel publie une telle mise à jour, tout ce qu'Intel peut faire, c'est dire «demandez au fabricant de votre ordinateur. version. Ils doivent ensuite tester le firmware. Oh, et chaque fabricant doit répéter ce processus pour chaque PC individuel vendu, car ils possèdent tous un micrologiciel UEFI différent. C'est le genre de travail manuel qui a rendu les téléphones Android si difficiles à mettre à jour dans le passé.

    En pratique, cela signifie qu'il faut souvent beaucoup de temps, plusieurs mois, pour obtenir des mises à jour de sécurité critiques devant être fournies via UEFI. Cela signifie que les fabricants pourraient hausser les épaules et refuser de mettre à jour des PC datant de quelques années seulement. Et, même lorsque les fabricants publient des mises à jour, celles-ci sont souvent enfouies sur le site Web d'assistance de ce fabricant. La plupart des utilisateurs d'ordinateurs personnels ne découvriront jamais l'existence de ces mises à jour du microprogramme UEFI et ne les installeront pas. Par conséquent, ces bogues perdurent longtemps sur les ordinateurs existants. Et certains fabricants vous obligent encore à installer les mises à jour du microprogramme en démarrant sous DOS, juste pour compliquer encore les choses..

    Ce que les gens font à ce sujet

    C'est un bordel. Nous avons besoin d'un processus rationalisé permettant aux fabricants de créer plus facilement de nouvelles mises à jour du micrologiciel UEFI. Nous avons également besoin d’un meilleur processus pour publier ces mises à jour, afin que les utilisateurs puissent les installer automatiquement sur leur PC. Actuellement, le processus est lent et manuel. Il devrait être rapide et automatique..

    C'est ce que Microsoft essaie de faire avec Project Mu. Voici comment la documentation officielle l'explique:

    Mu repose sur l'idée que l'expédition et la maintenance d'un produit UEFI constituent une collaboration permanente entre de nombreux partenaires. Pendant trop longtemps, l'industrie a construit des produits en utilisant un modèle de «forking» associé à un copier / coller / renommer et, avec chaque nouveau produit, la charge de maintenance augmente à un niveau tel que les mises à jour sont pratiquement impossibles en raison des coûts et des risques..

    Project Mu consiste essentiellement à aider les fabricants de PC à créer et à tester plus rapidement les mises à jour UEFI en rationalisant le processus de développement de l'UEFI et en aidant tout le monde à travailler ensemble. J'espère que c'est la pièce manquante, car Microsoft a déjà facilité la tâche des fabricants de PC pour qu'ils envoient automatiquement les mises à jour du microprogramme UEFI aux utilisateurs..

    Plus précisément, Microsoft autorise les fabricants d’ordinateurs personnels à publier des mises à jour du micrologiciel via Windows Update. Depuis au moins 2017, il fournit une documentation à ce sujet. Microsoft a également annoncé la mise à jour des composants logiciels. un modèle à code source ouvert que les fabricants peuvent utiliser pour mettre à jour UEFI et d'autres microprogrammes en octobre 2018. Si les fabricants de PC l'adoptent, ils pourraient fournir très rapidement les mises à jour du microprogramme à tous leurs utilisateurs..

    Ce n'est pas seulement une chose Windows. Sur Linux, les développeurs tentent de faciliter la tâche des fabricants de PC pour publier des mises à jour UEFI avec LVFS, le service de micrologiciel du fournisseur Linux. Les vendeurs de PC peuvent soumettre leurs mises à jour et ils apparaîtront au téléchargement dans l'application logicielle GNOME, utilisée sur Ubuntu et de nombreuses autres distributions Linux. Cet effort remonte à 2015. Les fabricants de PC comme Dell et Lenovo y participent..

    Ces solutions pour Windows et Linux ne concernent pas uniquement les mises à jour UEFI. Les fabricants de matériel pourraient les utiliser pour mettre à jour tout, du micrologiciel de la souris USB au micrologiciel du lecteur à état solide.

    Comme le dit SwiftOnSecurity à propos des problèmes liés au microprogramme et au chiffrement des disques SSD, les mises à jour du microprogramme peuvent être fiables. Nous devons nous attendre à mieux des fabricants de matériel.

    Les mises à jour du micrologiciel peuvent être fiables. J'ai lancé au moins 3 000 mises à jour du BIOS Dell avec un seul échec, et l'ancien ordinateur était déjà en service pour échec..

    Repensez ce que vous pensez est impossible. L'entretien du micrologiciel n'est ni impossible ni risqué. Il faut que les gens exigent mieux.

    - SwiftOnSecurity (@SwiftOnSecurity) 6 novembre 2018

    Crédit d'image: Intel, Natascha Eibl, Kubais / Shutterstock.com.