Sécurité IT : les périphériques aussi sont fragiles

Vous souvenez-vous d’Equation Group ?

On a donné ce nom à une équipe de cyberespionnage liée à la NSA.

Son activité avait été mise en lumière voilà cinq ans.

Dans sa panoplie d’outils figurait un implant capable d’infecter les disques durs au niveau du micrologiciel. Il donnait, entre autres effets, la possibilité de créer un espace de stockage « invisible » ne pouvant être chiffré.

Depuis lors, les fabricants de supports de stockage en ont renforcé la sécurité, notamment en vérifiant la signature des mises à jour de firmware.

Sans signature

L’entreprise américaine Eclypsium, spécialiste du domaine, fait remarquer que le problème persiste à plus grande échelle. En l’occurrence, sur nombre d’autres périphériques.

Elle en donne plusieurs illustrations :

• Les dispositifs de pointage (trackpad et trackpoint) sur un PC portable Lenovo ThinkPad X1 Carbon de 6^e génération (2018)
  En l’absence de vérification d’authenticité, on peut installer, sans privilèges particuliers, un firmware trafiqué.
• La webcam sur un PC portable convertible HP Spectre x360
  Pas non plus de vérification d’authenticité. Mais aussi la possibilité de modifier les descripteurs USB à travers l’outil Windows de mise à jour du firmware. Cela permet de désactiver la webcam ou de la faire passer pour un autre périphérique… et ainsi récupérer des informations sur le système.
• L’adaptateur Wi-Fi (Killer Wireless 1535) sur un PC portable Dell XPS 15 9560
  Windows 10 détecte les firmwares modifiés, le signale dans le gestionnaire de périphériques, mais n’en bloque pas pour autant le chargement.
  Qualcomm, fournisseur du chipset, affirme qu’il est conçu de sorte que le CPU doit valider le firmware. Microsoft assure quant à lui que c’est au fournisseur de réaliser la vérification…
• Les contrôleurs USB
  Eclypsium met en avant le firmware d’un hub VLI, disponible sur le portail LVFS, qu’exploitent les principales distributions Linux.

Les serveurs aussi

Sur la liste figure aussi une carte d’interface réseau (NIC) : la BCM5719 de Broadcom, utilisée sur de nombreux serveurs actuellement commercialisés.

Les serveurs disposent d’un contrôleur de gestion de la carte mère (BMC).
La communication avec ce processeur de service spécialisé se fait via une connexion indépendante.

De manière générale, les BMC peuvent partager une carte réseau avec le système hôte. Il en résulte deux interfaces logiques dotée chacune d’une adresse MAC.

Dans cette configuration, l’hôte n’est pas censé voir le trafic du BMC. Mais avec un firmware modifié, les choses peuvent changer. D’autant plus que la BCM5719 n’effectue pas de vérification des mises à jour chargées depuis l’hôte.

Cette situation ouvre la porte à une manipulation du trafic réseau du BMC : redirection, modification au vol, inspection des paquets et communication de leur contenu à un malware installé sur l’hôte, etc.

La carte fonctionnant sur PCI, elle peut éventuellement être exploitée pour prendre le contrôle du serveur à travers l’accès direct à la mémoire (DMA).