Microsoft a récemment dévoilé le Projet Mu, une initiative prometteuse de «micrologiciel en tant que service» destinée aux équipements compatibles. Il s’agit d’un signal d’alarme pour tous les fabricants de PC. Les ordinateurs nécessitent des mises à jour de sécurité régulières de leur microprogramme UEFI, et les constructeurs ont jusqu’à présent été en deçà des attentes pour les fournir.
Comprendre le micrologiciel UEFI
Les PC actuels s’appuient sur le microprogramme UEFI, successeur du BIOS traditionnel. L’UEFI est le logiciel de base qui s’active au démarrage de votre ordinateur. Il a pour tâche de tester et d’initialiser les composants matériels, de configurer les paramètres système de bas niveau, puis de lancer le système d’exploitation depuis le disque interne ou un autre périphérique de démarrage.
Cependant, l’UEFI est plus sophistiqué que l’ancien BIOS. Par exemple, les ordinateurs dotés de processeurs Intel intègrent l’Intel Management Engine, un petit système d’exploitation indépendant qui fonctionne parallèlement à Windows, Linux ou tout autre système d’exploitation. Dans les environnements d’entreprise, les administrateurs peuvent exploiter les fonctionnalités de l’Intel ME pour gérer les ordinateurs à distance.
L’UEFI contient également un microcode processeur, qui peut être considéré comme le micrologiciel de votre processeur. Au démarrage, votre ordinateur charge ce microcode à partir du micrologiciel UEFI. Imaginez-le comme un interprète qui convertit les instructions logicielles en opérations exécutées par le CPU.
L’impératif des mises à jour de sécurité de l’UEFI
Les récentes années ont clairement montré l’importance des mises à jour de sécurité régulières pour le micrologiciel UEFI.
L’affaire Spectre de 2018 a révélé de graves failles architecturales dans les processeurs modernes. Des problèmes liés à l’«exécution spéculative» ont permis aux programmes de contourner les mesures de sécurité standard et d’accéder à des zones de mémoire protégées. Les correctifs de Spectre ont exigé des mises à jour du microcode CPU pour une protection efficace. Cela signifie que tous les fabricants de PC, ainsi que de cartes mères, ont dû déployer un nouveau micrologiciel UEFI incluant le microcode mis à jour. Votre PC n’est correctement protégé contre Spectre que si vous avez appliqué une mise à jour du micrologiciel UEFI. AMD a également publié des mises à jour pour les systèmes basés sur ses processeurs, indiquant que ce n’est pas un problème exclusif à Intel.
Le moteur de gestion Intel a également présenté des vulnérabilités de sécurité pouvant permettre à un attaquant, disposant d’un accès physique ou distant, d’exploiter les faiblesses du moteur de gestion. Toutefois, les accès à distance n’ont eu d’impact que sur les entreprises ayant activé la technologie Intel Active Management (AMT), épargnant les consommateurs particuliers.
Ce ne sont là que quelques exemples. Des chercheurs ont également démontré comment abuser du micrologiciel UEFI sur certains PC, afin d’obtenir un accès privilégié au système. Ils ont même mis en évidence un ransomware persistant qui exploitait le micrologiciel UEFI pour mener des attaques.
L’industrie doit traiter les mises à jour du micrologiciel UEFI comme n’importe quel autre logiciel, afin de protéger les systèmes contre ces menaces et d’autres failles potentielles.
Un processus de mise à jour longtemps problématique
Le processus de mise à jour du BIOS, prédécesseur de l’UEFI, a toujours été complexe. Les ordinateurs livrés avec un BIOS moins sophistiqué présentaient des risques de défaillance lors de ces mises à jour. Bien que les constructeurs puissent parfois publier des mises à jour mineures du BIOS, il était courant de déconseiller leur installation si le PC fonctionnait correctement. Ces mises à jour nécessitaient souvent un démarrage à partir d’un lecteur DOS, et les échecs de mise à jour pouvaient rendre un PC inutilisable.
La situation a évolué avec l’UEFI, qui est beaucoup plus fonctionnel. Intel a publié plusieurs mises à jour majeures pour le microcode CPU et l’Intel ME. Cependant, Intel ne peut que recommander aux utilisateurs de contacter le fabricant de leur ordinateur pour appliquer ces mises à jour. Le fabricant doit alors intégrer le code d’Intel dans une nouvelle version du micrologiciel UEFI, la tester, et répéter le processus pour chaque modèle de PC vendu. Cette approche manuelle a complexifié les mises à jour, comme pour les téléphones Android par le passé.
En pratique, cela se traduit par des délais allant jusqu’à plusieurs mois pour les mises à jour de sécurité critiques distribuées via l’UEFI. Les constructeurs peuvent également négliger les mises à jour pour les PC considérés comme anciens. Même lorsque des mises à jour sont publiées, elles sont souvent difficiles à trouver sur le site Web du support technique, laissant de nombreux utilisateurs sans protection contre les failles de sécurité. Enfin, certains fabricants imposent encore des mises à jour du micrologiciel via un démarrage en mode DOS, compliquant davantage le processus.
Initiatives pour améliorer la situation
La situation actuelle est loin d’être idéale. Il est impératif de mettre en place un processus simplifié pour permettre aux fabricants de développer et de déployer plus facilement les mises à jour du micrologiciel UEFI. Il faut également un meilleur système de distribution, afin que les utilisateurs puissent installer ces mises à jour automatiquement. Le processus actuel est lent et manuel, il doit devenir rapide et automatique.
C’est précisément l’objectif de Microsoft avec le Projet Mu. La documentation officielle explique:
Mu est basé sur le principe que la livraison et la maintenance d’un produit UEFI sont une collaboration constante entre plusieurs partenaires. Trop souvent, l’industrie a utilisé un modèle de «fork», combiné avec des copier/coller/renommer. Avec chaque nouveau produit, la charge de maintenance devient telle que les mises à jour sont pratiquement impossibles à cause des coûts et des risques.
Le projet Mu vise à aider les fabricants de PC à développer et à tester plus rapidement les mises à jour UEFI, en rationalisant le processus de développement et en favorisant la collaboration. L’espoir est qu’il s’agisse de la pièce manquante du puzzle, Microsoft ayant déjà facilité la diffusion automatique des mises à jour du micrologiciel UEFI par les fabricants.
Microsoft permet aux fabricants de PC de publier des mises à jour du micrologiciel via Windows Update, et propose de la documentation à ce sujet depuis au moins 2017. Microsoft a également annoncé la Mise à jour du microprogramme des composants, un modèle open-source pour mettre à jour l’UEFI et d’autres micrologiciels, en octobre 2018. Si les fabricants de PC adoptent ces outils, ils pourraient diffuser rapidement des mises à jour à tous leurs utilisateurs.
Ces efforts ne concernent pas seulement Windows. Sur Linux, des développeurs cherchent à faciliter la diffusion des mises à jour UEFI avec LVFS, le service de microprogramme de fournisseurs Linux. Les fabricants de PC peuvent y soumettre leurs mises à jour, qui seront disponibles via l’application logicielle GNOME, utilisée sur Ubuntu et de nombreuses autres distributions Linux. Cette initiative remonte à 2015 et des constructeurs comme Dell et Lenovo y participent activement.
Ces solutions, pour Windows et Linux, ont un impact allant au-delà de l’UEFI. Les fabricants pourraient les utiliser pour mettre à jour tout type de microprogramme, de celui d’une souris USB à celui d’un disque SSD.
Comme l’a souligné SwiftOnSecurity à propos des problèmes liés aux microprogrammes et au chiffrement des disques SSD, les mises à jour de microprogramme sont essentielles et doivent être fiables. On doit attendre mieux des fabricants de matériel.
Les mises à jour de micrologiciel peuvent être fiables. J’ai effectué au moins 3000 mises à jour de BIOS Dell avec un seul échec, et cet ancien PC était déjà sur le point de rendre l’âme.
Remettez en question ce que vous pensez être impossible. La maintenance du micrologiciel n’est ni impossible ni risquée. Il faut que les utilisateurs exigent mieux.
— SwiftOnSecurity (@SwiftOnSecurity) 6 novembre 2018
Crédit images: Intel, Natascha Eibl, kubais/Shutterstock.com.