Les experts signalent la présence d’un faille épineuse sur la plateforme sécurisée TPM 2.0 que l’on retrouve dans les entrailles des PC. Des milliards d’appareils sont menacés, les attaquants pouvant s’octroyer des privilèges et dérober des données sensibles.
La puce TPM 2.0 a beaucoup fait parler d’elle lors du lancement de Windows 11. Et pour cause, celle-ci est exigée pour pouvoir installer le système d’exploitation. Attaché à la carte mère, ce module de plateforme sécurisée a pour fonction de générer et de stocker des clés de chiffrement. La puce protège une flopée de données d’authentification sensibles (identifiants, empreintes digitales, clés, certificats, etc) afin de les préserver des attaques extérieures.
Chercheurs chez Quarkslab, Francisco Falcon et Ivan Arce ont découvert deux nouvelles vulnérabilités en lecture (CVE-2023-1017) et en écriture (CVE-2023-1018) dans le TPM 2.0. Ces dernières risquent de faire du tort à des “milliards” d’appareils. Les attaquants peuvent l’exploiter pour obtenir des privilèges dans le système et dérober des données sensibles.
À lire > Windows 11 : comment l’installer sur un PC non compatible, sans puce TPM 2.0 ?
Vulnérabilités sur la puce TPM 2.0 : comment s’en prémunir ?
“Un attaquant qui a accès à une interface de commande TPM peut actionner des commandes malveillantes afin d’exploiter ces vulnérabilités”, souligne le centre de coordination CERT. Deux cas de figures se présentent alors : “soit l’attaquant a un accès en lecture seule aux données sensibles, soit il peut écraser les données normalement protégées disponibles uniquement pour le TPM (comme les clés cryptographiques).”
Les chercheurs recommandent vivement aux fournisseur d’opter pour une version corrigée de la plateforme :
- TMP 2.0 v1.59 Errata version 1.4 ou supérieure
- TMP 2.0 v1.38 Errata version 1.13 ou supérieure
- TMP 2.0 v1.16 Errata version 1.6 ou supérieure
Pour assurer la sécurité de leurs systèmes, les utilisateurs doivent appliquer dès que possible toutes les mises à jour fournies par les fabricants de matériel et de logiciels. D’après le Trusted Computing Group (TCG), la mise à jour du micrologiciel des puces TPM peut être nécessaire.
Jusqu’à présent, Lenovo est le seul constructeur de renom a avoir communiqué sur ces vulnérabilités. D’autres fabricants pourraient lui emboîter le pas prochainement. Bien que ces failles nécessitent un accès local authentifié à un appareil, il est bon de rappeler que les malwares exécutés sur l’appareil remplissent cette condition.
Outre Windows 10 et 11, Linux prend également en charge les puces TPM mais le système d’exploitation n’impose rien aux utilisateurs. Il existe notamment des outils Linux qui permettent aux applications et aux utilisateurs de sécuriser les données dans les TPM.
