COMPTOIR
  
register

×

La Licorne, protégée ?

Logiciels ASUS, GIGABYTE (et les autres ?) : un manque flagrant de sécurisation, et de coopération ?
La Licorne, protégée ?

Il faut croire que 2018 représente réellement l'année de la grosse baffe sécuritaire pour tout le monde, dont le coup d'envoi avait été lancé par le remue-ménage de janvier autour de Meltdown et Spectre. Non pas que personne ne causait vulnérabilité auparavant, très loin de là, mais les initiatives se sont cependant (publiquement, en tout cas) largement multipliées pour passer à la loupe des éléments parfois relativement ignorés jusqu'ici, au grand dam des constructeurs pouvant ainsi faire l'objet d'une bien mauvaise presse auprès des passionnés du hardware.

Aujourd'hui, c'est vers ASUS et GIGABYTE qu'il faut se tourner, tous deux pris à partie par les découvertes de SecureAuth, une compagnie de sécurité spécialisée dans l'"access management, identity governance, and penetration testing". En gros, un travail d'exploration et de tentative d'introduction par des endroits inattendus et encore inexplorés, le moto de 99% des films de hard, mais ici plutôt orientés soft(ware).

 

Qu'on t-ils trouvés ? Chez ASUS, plusieurs vulnérabilités liées aux pilotes GLCKIo et Asusgio après avoir trifouillé dans le code d'applications ASUS, notamment de l'Aura Sync (ici la v1.07.22 en particulier, mais rien ne dit que les autres en sont épargnés). Pour rappel, la suite Aura Sync est l'utilitaire maison pour synchroniser les loupiottes de tous périphériques RGB compatibles. Idem chez GIGABYTE, SecureAuth avait informé le constructeur de plusieurs vulnérabilités au sein des pilotes GPCIDrv et GDrv de ses applications GIGABYTE App Center, Aorus Graphics Engine, Extreme Gaming Engine et OC Guru 2. Hélas, GIGABYTE a démenti l'information partagée par SecureAuth et a affirmé que ses produits ne sont pas concernés. Voici la page d'information des vulnérabilités découvertes chez GIGABYTE, comportant le Proof of Concept et aussi le détail des échanges entre le constructeur et SecureAuth.

 

  • 2018-05-04: Gigabyte Technical support team replied saying that Gigabyte is a hardware company and they are not specialized in software, and requested for technical information.
  • 2018-05-16: Gigabyte Technical support team answered that Gigabyte is a hardware company and they are not specialized in software. They requested for technical details and tutorials to verify the vulnerabilities.
  • 2018-07-12: Gigabyte responded that, according to its PM and engineers, its products are not affected by the reported vulnerabilities.
  • 2018-12-18: Advisory CORE-2018-0007 published as 'user release'."

 

De son côté, après plusieurs relances, ASUS reconnut l'existence des failles et publia éventuellement une mise à jour, sans toutefois en informer SecureAuth. Ce dernier prit connaissance de la mise à jour pour finalement constater qu'ASUS n'y avait adressé qu'une des deux vulnérabilités. Pour tous les détails sur les failles (Proof of Concept, description..) et de la communication entre ASUS et SecureAuth, c'est par ici.

 

  • 2017-11-27: SecureAuth sent an initial notification to ASUS, asking for GPG keys.
  • 2017-12-14: SecureAuth sent a second notification to ASUS.
  • 2018-01-29: SecureAuth sent a third notification to ASUS.
  • 2018-01-30: Asus acknowledged SecureAuth's e-mail and asked for a report with technical information.
  • 2018-05-08: SecureAuth noticed that a new version of Aura Sync was available but this version only addresses one of the two vulnerable drivers. In this context, SecureAuth requested a new clarification.
  • 2018-07-03: SecureAuth requested a status update.
  • 2018-12-18: Advisory CORE-2017-0012 published as 'user release'."

 

En fin de compte, à terme d'échanges particulièrement laborieux, ni ASUS ni GIGABYTE n'auraient réalisé le nécessaire pour corriger ce qui pouvait l'être pendant que les failles étaient encore confidentielles. Hélas, le compte à rebours est achevé et SecureAuth a donc publié toutes les informations portant sur les failles. Pour l'anecdote, ASRock aussi avait été informé par SecureAuth (voir cette page dédiée) sur l'existence de failles dans son software, sauf que le constructeur a été bien plus collaboratif et a réagi relativement rapidement en corrigeant les failles avant qu'elles ne soient rendues publiques. Clairement, un moyen comme un autre pour distinguer les bons des mauvais élèves...

 

Voilà qui n'est pas sans rappeler l'affaire récente des failles critiques chez Logitech et son software Logitech Options, on reste dans la même veine. En fait, il n'y a vraiment pas de quoi être surpris. Ces dernières années, le type de logiciel dont il est question aujourd'hui s'est multiplié chez les constructeurs parallèlement à l’intégration croissante de fonctionnalités supplémentaires plus ou moins (f)utiles sur les cartes mères, cartes graphiques et périphériques PC, très notablement le RGB. Mais force est de constater que ces programmes paraissent parfois encore être assez mal et peu optimisés, lourds, et de surcroît des fois assez gourmands en ressources sans aucune bonne raison. Bref,  il est donc bien difficile d'imaginer qu'il en serait systématiquement autrement pour le travail et l'effort de sécurisation... Enfin, ce qui frappe aussi, c'est le manque assez apparent ici d'une réelle volonté de coopération de la part des constructeurs que l'on avait déjà constatée avec Logitech, et aujourd'hui chez ASUS et GIGABYTE ! (Source : PCGamesN)

 

La Licorne, protégée ? [cliquer pour agrandir]

La Licorne, finira-t-elle par sortir couverte ?

Un poil avant ?

Bon plan • Les NZXT Kraken x52 et x62 à partir de 133 € livrés

Un peu plus tard ...

Intel (re)confirme plusieurs de ses projets stratégiques pour 2019

Voilà que les logiciels des constructeurs de hardware et périphériques PC sont eux aussi pointés du gros doigt de la sécurité ! Visiblement, à juste titre...

temps de concentration afin de cerner l'ensemble des subtilités de ce billet 3 minutes et demi

Sur le comptoir, au ~même sujet

 
 
 
 
 
 
 
 
 
 
 
 



Suivez-nous sur G.Actualités
Les 26 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un ragoteur blond du Grand Est, le Dimanche 23 Décembre 2018 à 22h30  
Il est question de failles dans un logiciel, il est évident qu'éteindre des loupiotes ne permettra pas de combler ces failles mais que la seule méthode valable consiste à ne pas installer ces logiciels défaillants ou à les desinstaller s'ils sont présents... et quand à parler du niveau de connerie, comme tu dis, des autres... tu connais l'histoire de la paille et de la poutre dans l'oeil ?
par Jemporte, le Dimanche 23 Décembre 2018 à 20h45
Je n'ai aucune idée de comment fonctionne ces RGB dont je ne veux pas entendre parler dans les BIOS. Avoir des gadgets qui ne servent à rien sur la carte mère dirigés par des logiciels défaillants c'est juste du grand n'importe quoi. Et faire vendre des cartes mères parce qu'elles ont plus de leds que d'autres en dit long sur la connerie épaisse de la majorité des gamers ou sur le taux de réussite de la lobotomisation pratiquée depuis un certain temps (disons 10 ans) par les GAFA auprès des consommateurs.
Parce que, en plus, lorsque le BIOS ne les dirige pas, il faudra bien passer par une application.
par Scrabble, le Dimanche 23 Décembre 2018 à 21h46  
par Jemporte, le Dimanche 23 Décembre 2018 à 20h45
Je n'ai aucune idée de comment fonctionne ces RGB dont je ne veux pas entendre parler dans les BIOS. Avoir des gadgets qui ne servent à rien sur la carte mère dirigés par des logiciels défaillants c'est juste du grand n'importe quoi. Et faire vendre des cartes mères parce qu'elles ont plus de leds que d'autres en dit long sur la connerie épaisse de la majorité des gamers ou sur le taux de réussite de la lobotomisation pratiquée depuis un certain temps (disons 10 ans) par les GAFA auprès des consommateurs.
Parce que, en plus, lorsque le BIOS ne les dirige pas, il faudra bien passer par une application.
Bien d'accord avec ça.
par Jemporte, le Dimanche 23 Décembre 2018 à 20h45  
par Un ragoteur blond du Grand Est, le Dimanche 23 Décembre 2018 à 19h22
Euh, pour ne pas avoir de risque avec des logiciels, tu veux éteindre le rgb dans le bios ??? C'était du second degré où tu n'as vraiment aucune idée de comment fonctionne un pc ? Je mise un petit billet sur la deuxième solution au vu de tes interventions précédentes.
Je n'ai aucune idée de comment fonctionne ces RGB dont je ne veux pas entendre parler dans les BIOS. Avoir des gadgets qui ne servent à rien sur la carte mère dirigés par des logiciels défaillants c'est juste du grand n'importe quoi. Et faire vendre des cartes mères parce qu'elles ont plus de leds que d'autres en dit long sur la connerie épaisse de la majorité des gamers ou sur le taux de réussite de la lobotomisation pratiquée depuis un certain temps (disons 10 ans) par les GAFA auprès des consommateurs.
Parce que, en plus, lorsque le BIOS ne les dirige pas, il faudra bien passer par une application.
par Un ragoteur blond du Grand Est, le Dimanche 23 Décembre 2018 à 19h22  
Euh, pour ne pas avoir de risque avec des logiciels, tu veux éteindre le rgb dans le bios ??? C'était du second degré où tu n'as vraiment aucune idée de comment fonctionne un pc ? Je mise un petit billet sur la deuxième solution au vu de tes interventions précédentes.
par Jemporte, le Samedi 22 Décembre 2018 à 02h53
J'espère qu'au moins en désactivant les effets RGB partout, au niveau BIOS, on peut être en paix face à ces failles.
Sérieusement, je vise le matos qui en est le plus dépourvu (pourtant même les trucs basiques en ont quand même), pour qu'en plus ça devienne des failles de sécurité...
Si quelqu'un sait comment on désactive la led bleue de la Sapphire RX 580 Nitro + ? Sinon, comme d'hab, je sortirai mon gros feutre noir indélébile.
Quels emmerdeurs avec leurs leds.
par Jemporte, le Dimanche 23 Décembre 2018 à 00h46  
par Mitsu, le Samedi 22 Décembre 2018 à 12h49
Il suffit d'aller sur le site de Sapphire, installer l'application Sapphire TriXX pour paramétrer tout ça.
Ok merci.
par Mitsu, le Samedi 22 Décembre 2018 à 12h49  
par Jemporte, le Samedi 22 Décembre 2018 à 02h53
Si quelqu'un sait comment on désactive la led bleue de la Sapphire RX 580 Nitro + ? Sinon, comme d'hab, je sortirai mon gros feutre noir indélébile.
Quels emmerdeurs avec leurs leds.
Il suffit d'aller sur le site de Sapphire, installer l'application Sapphire TriXX pour paramétrer tout ça.
par Jemporte, le Samedi 22 Décembre 2018 à 12h18  
par Matthieu S., le Samedi 22 Décembre 2018 à 08h53
Mais non, suffit juste de ne pas installer les apps pour être tranquille... ou que les constructeurs fassent un meilleur boulot
Une idée pour l'extinction des feux de la RX 580 Nitro+. Je suppose que rien dans les pilotes AMD génériques n'est fait pour.
par Jemporte, le Samedi 22 Décembre 2018 à 12h12  
Autre point intéressant dans la coopération M$/fabricants.
M$ a activé dans une mise à jour sécurité Windows 7, sans rien annoncer, le Bios UEFI (en fevrier 2017), mais c'était un update optionnel. Récemment ils ont passé cet update en recommandé. Résultat, Asus, qui met dans ses cartes mères une option Bios Legacy ou UEFI (selon requisits de l'OS à l'installation et qui marchait nickel) fait basculer Windows 7 en mode UEFI et le bloque. Seule une ré-installation avec demande de nouveau numéro Windows (selon le bon vouloir de M$) peut marcher. Et il aparait que ça vaut pour les portables Asus.
Non seulement Asus peut être mis en cause pour son fonctionnement UEFI mixte, mais c'est surtout M$ qui est en cause pour sortir ce genre d'update "automatique" qui met en péril les installations existantes. La réponse de M$ officielle c'est bien sûr une recommandation de passer à Windows 10. Les autres fabricants ne semblent pas concernés.
par Matthieu S., le Samedi 22 Décembre 2018 à 08h53  
par Jemporte, le Samedi 22 Décembre 2018 à 02h53
J'espère qu'au moins en désactivant les effets RGB partout, au niveau BIOS, on peut être en paix face à ces failles.
Sérieusement, je vise le matos qui en est le plus dépourvu (pourtant même les trucs basiques en ont quand même), pour qu'en plus ça devienne des failles de sécurité...
Si quelqu'un sait comment on désactive la led bleue de la Sapphire RX 580 Nitro + ? Sinon, comme d'hab, je sortirai mon gros feutre noir indélébile.
Quels emmerdeurs avec leurs leds.
Mais non, suffit juste de ne pas installer les apps pour être tranquille... ou que les constructeurs fassent un meilleur boulot
par Jemporte, le Samedi 22 Décembre 2018 à 02h53  
J'espère qu'au moins en désactivant les effets RGB partout, au niveau BIOS, on peut être en paix face à ces failles.
Sérieusement, je vise le matos qui en est le plus dépourvu (pourtant même les trucs basiques en ont quand même), pour qu'en plus ça devienne des failles de sécurité...
Si quelqu'un sait comment on désactive la led bleue de la Sapphire RX 580 Nitro + ? Sinon, comme d'hab, je sortirai mon gros feutre noir indélébile.
Quels emmerdeurs avec leurs leds.
par Aluncard, le Vendredi 21 Décembre 2018 à 16h16  
par Un rat goth à l'heure en Île-de-France, le Vendredi 21 Décembre 2018 à 15h19
Exact l'adressable prend le pas sur le rgb classique, mais bordel asus aura c'est d'une daube...... On ne peut même plus faire des effets différents sur les différentes prise digital rgb ou rgb, obligé de mettre forcement la même anim.... Le logiciel Gigabyte est bien meilleur là dessus et se désinstalle proprement contrairement à cette daube de Aura
Mince alors, moi qui est une Crosshair. Je t'avoue que je n'y pas encore mis le nez dedans, mais ça devrait pas tarder. Y'a pas moyen de passer par le logiciel de Cooler Master ?
par Cristallix, le Vendredi 21 Décembre 2018 à 15h33  
par Matthieu S., le Vendredi 21 Décembre 2018 à 11h08
Oui, mais pas mieux chez GIGABYTE, en fin de compte
Oui aussi