Quatre millions de dollars, c’est la somme réclamée à MSI par Money Message, un groupe de hackers qui prétend avoir réussi à s’emparer de certains documents sensibles de la firme, dont des codes sources.
A ces Taïwanais…
Blague à part il vont faire quoi ces pirates (Chinois) avec le code source d’un bios qui est forcement associé à un chipset grand public??
Ils peuvent détruire des PC en flashant n’importe quoi dans le BIOS.
Faut t’il encore que l’utilisateur final valide le flash… 
1 « J'aime »
Un outil qui flashe en se passant de l’avis de l’utilisateur est toujours faisable.
Le niveau de sécurité est tellement faible qu’il n’y a pas des masses de validations nécessaires… N’importe quelle application s’exécutant avec les droits admin sous Windows peut aller flasher le firmware de la carte mère ou de la carte graphique sans confirmation de l’utilisateur.
Et réussir à tromper l’utilisateur pour qu’il donne les droits admin, c’est pas bien dur…
Pas besoins des source pour ça
Je confirme l’absence totale de sécuritée. J’ai du reflasher les EEPROM de 2 carte mères suite à une mise à jour windows 10, cela remonte à quelques années, mais bon. La même mise a jour a briquée les UEFI des 2 carte mères utilisée par 2 clients ne se connaisant pas et ce dans la même semaine en plus, sympa…
1 « J'aime »
C’est bien par rapport à ce risque que de 1 je suis sous Linux et de 2 je passe systématiquement par la mise à jour intégrée du BIOS pour charger un fichier venant du site officiel.
Les redmonderies automatiques qui téléchargent on se nait d’où, on ne sait quoi et qui flashent on ne sait comment … j’m’en méfie comme de la peste. Pour peu que l’outil n’ait pas été chargé depuis le site officiel (parce que ça affiche une vidéo de chat), ben, ponpon-land !
Bref, les possibilités pour des attaquants sont incalculables.
1 « J'aime »
Ça c’est probablement pas la meilleure des idées si tu es en mode je me méfie de tout… Je doute que dans l’environnement ultra limité du BIOS ils aient implémenté des sécurités de base comme le HTTPS avec vérification du certificat pour le téléchargement de l’image du BIOS…
Il y avais eux un cas d’un pc portable ou le bios (UEFI) était vue par Linux comme un simple volume de stockage, résulta plusieurs pc briqué après l’installation de certaine distributions Linux.
Au passage sur Windows le problème était le même, juste un paramétrage d’usine pour ne pas l’afficher à l’utilisateur.
Bon le problème à était rapidement patché avec une maj de bios.
Et pour info on a aussi sous Linux un outil pour faire les mises à jour de bios/firmware en tout automatique fwupd - Wikipedia
Ah … et quand tu conserves l’URL de la page de téléchargement ?
Mais bon, je ne connais pas de fabricant grand public qui mette les BIOS en ligne dans un dépôt sécurisé pour mettre à jour via fwupd.
On ne peut pas bloquer les mises a jour bios ? je veux dire avec une option du bios.
Techniquement, ça serait possible, mais je n’ai jamais vu une telle option.
Par contre certaines cartes mères ont deux BIOS, ce qui permet de basculer sur le BIOS sain quand le BIOS par défaut a été corrompu.
1 « J'aime »
Sur un pc portable que nenni . MSI reste le seul administrateur du bios idem pour les autres marques
Il était un temps où il fallait déplacer un cavalier sur les CM pour y avoir accès … mais ça c’était avant
2 « J'aime »