Le fabricant informatique Asus vient de publier un communiqué dans lequel il admet avoir été la cible d’une attaque sophistiquée, que Kaspersky avait dévoilée il y a deux jours sous le nom de ShadowHammer. La firme taïwanaise publie un correctif de Live Update, le logiciel de mise à jour que les pirates ont utilisé pour diffuser une porte dérobée sur des centaines de milliers d’ordinateurs de la marque.
Ce patch apporte à Live Update « de multiples mécanismes de vérification de sécurité pour empêcher les manipulations malveillantes de mises à jour logicielles ». Pour avoir ce patch, il suffit de lancer une procédure de mise à jour au travers de Live Update, forcément. Asus souligne, par ailleurs, avoir « mis à jour et renforcé » son architecture de serveurs. Enfin, l’entreprise propose un outil qui permet aux utilisateurs de PC Asus de savoir s’ils ont été impactés par cette attaque, tout en précisant que seuls les ordinateurs portables peuvent être concernés.
Pas de détails sur l’attaque
Acculé par les révélations de Kaspersky, Asus se devait de réagir rapidement. Mais la réponse est un peu courte. Le constructeur ne donne aucun détail de l’attaque dont il a été victime. C’est bien de publier une mise à jour de Live Update, mais cela ne résout pas le fond du problème. Comment les pirates ont-ils pu mettre la main sur un certificat Asus et diffuser des mises à jour vérolés depuis les serveurs Asus ? On suppose que cette brèche a été colmatée dans le cadre du renforcement architectural, mais on aurait aimé avoir quelques détails.
Par ailleurs, dans le cas d’une infection, ce patch n’est pas vraiment une solution. Certes, il remplace Live Update par une version 3.6.8 à priori non vérolée, mais visiblement cela ne permet pas de supprimer la porte dérobée. En effet, Asus incite les utilisateurs affectés par cette attaque de procéder à une sauvegarde des données et de réinitialiser le système. « Ceci va totalement supprimer le malware de votre ordinateur », précise Asus. Merci pour l’info.
Manque de transparence
Des questions se posent également sur l’outil de diagnostic censé détecter les « systèmes affectés » par cette attaque. Selon Kaspersky, les pirates ont infecté des centaines de milliers d’ordinateurs, mais ne ciblaient en réalité que 600 utilisateurs au travers d’une liste d’adresses MAC codées en dur dans le malware. Est-ce que cet outil ne fait que comparer l’adresse MAC d’un ordinateur à cette liste, comme le fait l’outil de Kaspersky ? Dans ce cas, il ne recense pas les systèmes qui ont été infectés par une version vérolée, mais dormante, de Live Update. Que faut-il faire dans ce cas-là ? Difficile à dire…
Enfin, l’attitude générale d’Asus est quand même gênante. Dans son communiqué, le constructeur minimise l’attaque en expliquant que seul « un petit nombre d’équipements » ont reçu le malware ShadowHammer, sans donner plus de précisions. Pourtant, d’après les chercheurs en sécurité, plusieurs centaines de milliers d’appareils seraient concernés, voire même plus d’un million. De plus, Kaspersky aurait mérité d’être mentionné dans le communiqué du constructeur, par simple politesse. Mais apparemment, l’entreprise taïwanaise n’a pas du tout appréciée la révélation de cette attaque. Selon Motherboard, elle aurait essayé de faire signer à l’éditeur russe un accord de non-divulgation (NDA). Si ce dernier l’avait fait, on n’aurait probablement jamais entendu parler cette affaire.
Source : communiqué d’Asus
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
