Logiciels ASUS, GIGABYTE (et les autres ?) : un manque flagrant de sécurisation, et de coopération ?

Il faut croire que 2018 représente réellement l'année de la grosse baffe sécuritaire pour tout le monde, dont le coup d'envoi avait été lancé par le remue-ménage de janvier autour de Meltdown et Spectre. Non pas que personne ne causait vulnérabilité auparavant, très loin de là, mais les initiatives se sont cependant (publiquement, en tout cas) largement multipliées pour passer à la loupe des éléments parfois relativement ignorés jusqu'ici, au grand dam des constructeurs pouvant ainsi faire l'objet d'une bien mauvaise presse auprès des passionnés du hardware.

Aujourd'hui, c'est vers ASUS et GIGABYTE qu'il faut se tourner, tous deux pris à partie par les découvertes de SecureAuth, une compagnie de sécurité spécialisée dans l'"access management, identity governance, and penetration testing". En gros, un travail d'exploration et de tentative d'introduction par des endroits inattendus et encore inexplorés, le moto de 99% des films de hard, mais ici plutôt orientés soft(ware).

Qu'on t-ils trouvés ? Chez ASUS, plusieurs vulnérabilités liées aux pilotes GLCKIo et Asusgio après avoir trifouillé dans le code d'applications ASUS, notamment de l'Aura Sync (ici la v1.07.22 en particulier, mais rien ne dit que les autres en sont épargnés). Pour rappel, la suite Aura Sync est l'utilitaire maison pour synchroniser les loupiottes de tous périphériques RGB compatibles. Idem chez GIGABYTE, SecureAuth avait informé le constructeur de plusieurs vulnérabilités au sein des pilotes GPCIDrv et GDrv de ses applications GIGABYTE App Center, Aorus Graphics Engine, Extreme Gaming Engine et OC Guru 2. Hélas, GIGABYTE a démenti l'information partagée par SecureAuth et a affirmé que ses produits ne sont pas concernés. Voici la page d'information des vulnérabilités découvertes chez GIGABYTE, comportant le Proof of Concept et aussi le détail des échanges entre le constructeur et SecureAuth.

• 2018-05-04: Gigabyte Technical support team replied saying that Gigabyte is a hardware company and they are not specialized in software, and requested for technical information.
• 2018-05-16: Gigabyte Technical support team answered that Gigabyte is a hardware company and they are not specialized in software. They requested for technical details and tutorials to verify the vulnerabilities.
• 2018-07-12: Gigabyte responded that, according to its PM and engineers, its products are not affected by the reported vulnerabilities.
• 2018-12-18: Advisory CORE-2018-0007 published as 'user release'."

De son côté, après plusieurs relances, ASUS reconnut l'existence des failles et publia éventuellement une mise à jour, sans toutefois en informer SecureAuth. Ce dernier prit connaissance de la mise à jour pour finalement constater qu'ASUS n'y avait adressé qu'une des deux vulnérabilités. Pour tous les détails sur les failles (Proof of Concept, description..) et de la communication entre ASUS et SecureAuth, c'est par ici.

• 2017-11-27: SecureAuth sent an initial notification to ASUS, asking for GPG keys.
• 2017-12-14: SecureAuth sent a second notification to ASUS.
• 2018-01-29: SecureAuth sent a third notification to ASUS.
• 2018-01-30: Asus acknowledged SecureAuth's e-mail and asked for a report with technical information.
• 2018-05-08: SecureAuth noticed that a new version of Aura Sync was available but this version only addresses one of the two vulnerable drivers. In this context, SecureAuth requested a new clarification.
• 2018-07-03: SecureAuth requested a status update.
• 2018-12-18: Advisory CORE-2017-0012 published as 'user release'."

En fin de compte, à terme d'échanges particulièrement laborieux, ni ASUS ni GIGABYTE n'auraient réalisé le nécessaire pour corriger ce qui pouvait l'être pendant que les failles étaient encore confidentielles. Hélas, le compte à rebours est achevé et SecureAuth a donc publié toutes les informations portant sur les failles. Pour l'anecdote, ASRock aussi avait été informé par SecureAuth (voir cette page dédiée) sur l'existence de failles dans son software, sauf que le constructeur a été bien plus collaboratif et a réagi relativement rapidement en corrigeant les failles avant qu'elles ne soient rendues publiques. Clairement, un moyen comme un autre pour distinguer les bons des mauvais élèves...

Voilà qui n'est pas sans rappeler l'affaire récente des failles critiques chez Logitech et son software Logitech Options, on reste dans la même veine. En fait, il n'y a vraiment pas de quoi être surpris. Ces dernières années, le type de logiciel dont il est question aujourd'hui s'est multiplié chez les constructeurs parallèlement à l’intégration croissante de fonctionnalités supplémentaires plus ou moins (f)utiles sur les cartes mères, cartes graphiques et périphériques PC, très notablement le RGB. Mais force est de constater que ces programmes paraissent parfois encore être assez mal et peu optimisés, lourds, et de surcroît des fois assez gourmands en ressources sans aucune bonne raison. Bref,  il est donc bien difficile d'imaginer qu'il en serait systématiquement autrement pour le travail et l'effort de sécurisation... Enfin, ce qui frappe aussi, c'est le manque assez apparent ici d'une réelle volonté de coopération de la part des constructeurs que l'on avait déjà constatée avec Logitech, et aujourd'hui chez ASUS et GIGABYTE ! (Source : PCGamesN)

La Licorne, finira-t-elle par sortir couverte ?