La sécurité chez ASUS (encore) pointée du doigt par ESET

En plus des passages à la loupe réguliers des processeurs AMD et Intel depuis le début de 2018, les baffes continuent aussi à pleuvoir des compagnies spécialisées dans la sécurité en ligne sur d'autres constructeurs, d'autant plus que certains ont malheureusement pris la mauvaise habitude d'être assez régulièrement à l'affiche. Cette année, on a eu par exemple le cas de Dell chez qui fut mis en évidence une faille majeure au sein de l'utilitaire de mise à jour de ses machines, mais pour ASUS cette année ce serait donc déjà un troisième dérapage, et c'est sans compter les découvertes de SecureAuth fin décembre 2018 au sein des logiciels d'ASUS et de GIGABYTE.

Ça fait toujours plus mal !

Un peu plus tôt en 2019, c'était le logiciel LiveUpdate d'ASUS qui était au centre d'une révélation partagée par Kaspersky, ce dernier a prouvé que l'outil avait été infecté par un bout de code malsain permettant de se faufiler par le biais des serveurs de mises à jour sur les machines des utilisateurs. Pour ne rien arranger à l'affaire, un peu après il s'est avéré que certains employés d'ASUS conservaient leurs mots de passe en texte clair sur Github, sans qu'aucune relation n'eût ensuite toutefois pu être établie avec les attaques découvertes par Kaspersky, ce qui n’enlève rien à l'irresponsabilité de la chose. Et aujourd'hui alors ?

L'année dernière en juillet, les spécialistes d'ESET avaient en parallèle aussi repéré une nouvelle grosse offensive malware exploitant des certificats numériques dérobés au préalable à des compagnies majoritairement d'origine Taïwanaise, et divisée en deux branches : une backdoor contrôlable à distance et un capteur de mot de passe. Un attaque apparemment menée par le groupe BlackTech. Retour en 2019, ESET a finalement découvert chez ASUS que le malware en question était crée et exécuté par le processus AsusWSPanel.exe, un exécutable parfaitement légitime et numériquement signé par ASUS Cloud Corp. du programme WebStorage du Taïwanais.

« Le logiciel ASUS WebStorage est vulnérable à ce type d’attaque. Car sa mise à jour est initiée et transférée via http simple (non chiffré). Et une fois qu’une mise à jour est téléchargée et prête à être exécutée, le logiciel ne valide pas l’authenticité de celle-ci avant son exécution. Ainsi, si le processus de mise à jour est intercepté par des attaquants, ils sont parfaitement capables de pousser une mise à jour malveillante », Anton Cherepanov, chercheur en cybersécurité chez ESET.

ESET en a déduit qu'ASUS a été victime soit d'une attaque de la chaîne d’approvisionnement, soit de type "homme du milieu" (MITM) hypothétiquement menée par le groupe BlackTech. Ainsi, sans nécessairement avoir eu besoin d'infecter directement les fichiers d'ASUS, le groupe aurait exploité tout simplement le canal de distribution en HTTP simple et donc non chiffré du WebStorage pour la livraison des mises à jour vers la clientèle, et ainsi infecter les machines de celle-ci.

ESET privilégie toutefois le scénario MITM, leur enquête ayant aussi révélé que la plupart des organisations concernées par les attaques possédaient des routeurs du même constructeur, ASUS. Tiens, la fessée de 2016 par la FTC n'était visiblement pas suffisante. Et dire qu'ASUS avait alors aussi été condamné à utiliser les services d'auditeurs externes pour évaluer le niveau de sécurité de tous ses produits pour une période de 20ans...Sans commentaires.

Bref, après la révélation d'ESET, ASUS a réagi en fermant le serveur de mise à jour WebStorage et retirant toute notification de mise à jour du programme. Vous pouvez retrouver le p'tit communiqué d'ASUS WebStorage, ici. Visiblement il y a encore beaucoup de travail à faire en interne et de nombreuses mesures de sécurité manquantes à mettre en place, mais c'est aussi son image de marque qui en souffre encore, et de ce côté-là il en faut généralement beaucoup plus pour renouer avec le public, fut-il pro ou particulier. ASUS et toutes les autres compagnies "victimes" de négligences similaires apprendront-ils enfin la leçon ? (Source : ESET, Welivesecurity, Tom's)