plus69free - Fotolia
Wikileaks : Intel invite à vérifier l’intégrité de l’UEFI et du BIOS
A la suite des révélations de Wikileaks sur les activités d’espionnage de la CIA, Intel Security rappelle l’existence de son framework de vérification de l’intégrité du code embarqué.
Le framework Chipsec n’est pas exactement nouveau. Mais les révélations de Wikileaks sur les activités de la CIA en matière d’espionnage ciblé ne font qu’en renforcer l’intérêt : l’agence américaine du renseignement semble s’être intéressée de près à la compromission des ordinateurs personnels au plus bas niveau, celui de leur firmware, dans le BIOS ou son successeur, UEFI. Les documents publiés par Wikileaks font notamment état d’un module de persistance EFI pour Mac baptisé DarkMatter, dans le cadre du projet DerStarke, et d’une autre projet connexe, QuarkMatter.
Dans un billet de blog, Intel Security (McAfee) explique que ses équipes de recherche sur les menaces avancées travaillent depuis de nombreuses années à la renforcer la sécurité du firmware. Dès lors, Chipsec est conçu pour « analyser la sécurité des plateformes d’ordinateurs individuels, y compris le matériel, le firmware système (BIOS/UEFI), et les composants ». Ce framework intègre des outils d’accès « à plusieurs interfaces de bas niveau », notamment. Il peut fonctionner sous Windows, Linux, macOS, et même être exécuté à partir du shell UEFI.
En fait, c’est en juillet 2015 qu’Intel Security a rendu public son framework Chipsec, à la suite du piratage de Hacking Team, qui avait déjà travaillé à la compromission du firmware des ordinateurs personnels. Le framework devait permettre de vérifier la présence, ou non, du rootkit du groupe italien sur les machines inspectées.
Un mode d’emploi complet est proposé, dans le cadre du framework. Mais aujourd’hui, Intel Security explique son framework doit, pour être pleinement utilisable, être mis à jour avec « une liste propre de binaires EFI exécutables connu » et légitimes : une liste blanche, à construire à partir d’une image firmware saine.