Le code source du BIOS UEFI (Unified Extensible Firmware Interface) des processeurs Alder Lake a été publié en ligne. La fuite ne vient pas du fondeur lui-même, mais d’un partenaire. Et si Intel minimise les risques quant à la découverte de vulnérabilités exploitables, les chercheurs en cybersécurité ne sont pas de cet avis.
Vendredi, le code source du firmware UEFI des processeurs de génération Alder Lake a été publié dans un repository public sur GitHub. « Notre code UEFI propriétaire semble avoir été divulgué par un tiers » a par la suite confirmé Intel. Ce code source ne provient pas directement du fondeur : il s’agit de développement réalisé par Insyde, une société spécialisée dans le développement de firmware UEFI. En outre, le code contient de nombreuses références à Lenovo.
En l’état actuel des choses, on ne sait donc pas si la fuite vient de Lenovo ou d’Insyde. Voire d’Intel, ou plus exactement de son programme de bug bounty Project Circuit Breaker, puisque ledit code est couvert par ce programme. Toujours est-il qu’il a fuité, mais Intel ne semble pas s’en alarmer. « Nous ne pensons pas que cela expose de nouvelles vulnérabilités de sécurité car nous ne comptons pas sur l'obscurcissement des informations comme mesure de sécurité » indique le fondeur à Tom’s Hardware.
Néanmoins, plusieurs chercheurs en sécurité voient les choses d’une toute autre manière. En effet, quand bien même ce code devait être en production, ne serait-ce que partiellement, il contient des informations sensibles. Notamment une clé de déchiffrement privée utilisée pour le Boot Guard d’Intel.