Mais selon l’entreprise, il n’y a pas lieu de s’inquiéter.
Nous parlions en fin de semaine dernière de la possible divulgation du code source des BIOS pour Alder Lake, se matérialisant par 5,9 Go de données dans la nature. Un porte-parole d’Intel a confirmé cette mésaventure à nos confrères de Tom’s Hardware US. À en croire l’entreprise, cette fuite ne mettrait pas en péril la sécurité du matériel commercialisé.
Voici la déclaration : “Notre code propriétaire UEFI semble avoir été divulgué par une tierce partie. Nous ne pensons pas que cela entraîne de nouvelles failles de sécurité, car nous n’utilisons pas la dissimulation d’informations comme mesure de protection. Ce code est couvert par notre programme de chasse aux bugs dans le cadre du Project Circuit Breaker [Intel’s Bug Bounty], et nous encourageons tous les chercheurs qui pourraient identifier des vulnérabilités potentielles à les porter à notre attention par le biais de ce programme. Nous nous adressons à la fois aux clients et à la communauté des chercheurs en sécurité pour les tenir informés de cette situation.”
Un employé d’un ODM chinois impliqué ?
Nous pouvons effectivement supposer que bon nombre de fabricants de cartes mères et autres équipementiers disposent de ces données. Une hypothèse renforcée par l’origine de la fuite qui, si elle reste encore incertaine, serait liée à Lenovo. En effet, la publication sur GitHub émanerait d’un employé de LC Future Center, un ODM basé en Chine qui fabrique des ordinateurs portables pour plusieurs OEM, dont Lenovo.
Toutefois, d’après le chercheur en sécurité Mark Ermolov, qui a commencé l’analyse du code, les données comprendraient des MSR (Model Specific Registers) susceptibles de présenter un problème de sécurité, ainsi que la clé de signature utilisée pour le Boot Guard d’Intel, ce qui risquerait de rendre caduque la fonctionnalité. Il a également repéré des signes d’ACMs (Authenticated Code Modules) pour BootGuard et TXT (Trusted Execution Technology).
Le caractère cybercriminel de cette fuite reste à confirmer. Intel ne serait pas la seule grande entreprise à y être confrontée ces derniers mois. En effet, AMD s’était fait dérober des données en 2020, tandis que NVIDIA avait subi le chantage des pirates du groupe Lapsus$, lesquels avaient subtilisé 1 To de données.
Source : Tom’s Hardware US