Une faille UEFI dans les cartes mères ASRock, ASUS, Gigabyte et MSI permet des attaques DMA pré-boot. Quatre CVE attribués. Mises à jour firmware à appliquer en priorité.
En bref
- Une vulnérabilité UEFI permet des attaques DMA pré-boot sur les cartes mères ASRock, ASUS, Gigabyte et MSI.
- CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 et CVE-2025-14304 affectent la protection DMA au démarrage.
- Action requise : appliquer les mises à jour firmware des constructeurs et restreindre l'accès physique aux machines critiques.
Les faits
Des chercheurs en sécurité de Riot Games — Nick Peterson et Mohamed Al-Sharifi — ont découvert une faille fondamentale dans l'implémentation UEFI de quatre grands fabricants de cartes mères : ASRock, ASUS, Gigabyte et MSI. La vulnérabilité, divulguée de manière responsable et rendue publique début avril 2026, concerne une incohérence dans le statut de protection DMA (Direct Memory Access) pendant la phase de démarrage. Concrètement, le firmware indique que la protection DMA est active alors qu'il ne configure ni n'active l'IOMMU durant cette phase critique.
Quatre identifiants CVE ont été attribués : CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 et CVE-2025-14304, couvrant respectivement chaque fabricant affecté. Selon SecurityWeek et BleepingComputer, un attaquant disposant d'un accès physique peut connecter un périphérique PCI Express malveillant pour accéder à la mémoire système ou injecter du code avant le chargement du système d'exploitation, contournant ainsi les mécanismes de sécurité logiciels traditionnels.
Impact et exposition
L'exploitation nécessite un accès physique au port PCIe de la machine cible, ce qui limite le risque pour les postes de travail classiques en environnement contrôlé. Cependant, les scénarios suivants sont particulièrement exposés : serveurs en colocation ou datacenters partagés, postes en libre-service (kiosques, bornes), machines de développement dans des espaces ouverts, et tout environnement où le matériel peut être manipulé par un tiers. L'attaque permet l'injection de code pré-boot, ce qui rend inefficaces toutes les protections logicielles — antivirus, EDR, chiffrement disque — qui ne sont activées qu'après le démarrage de l'OS. Un attaquant peut ainsi installer un bootkit persistant indétectable par les outils de sécurité conventionnels.
Recommandations
- Appliquer immédiatement les mises à jour firmware publiées par ASRock, ASUS, Gigabyte et MSI pour les cartes mères affectées.
- Activer Secure Boot et vérifier que la configuration UEFI n'a pas été altérée sur les machines critiques.
- Restreindre l'accès physique aux serveurs et postes sensibles : verrouillage des châssis, surveillance des salles serveurs, contrôle d'accès strict.
- Intégrer la vérification de l'intégrité firmware dans vos procédures d'audit de sécurité régulières.
Quelles cartes mères sont concernées et comment vérifier si je suis affecté ?
Les quatre fabricants concernés sont ASRock, ASUS, Gigabyte et MSI. Consultez les bulletins de sécurité de chaque constructeur pour la liste exacte des modèles affectés. En attendant, vérifiez la version de votre firmware UEFI dans les paramètres BIOS et comparez-la avec la dernière version disponible sur le site du fabricant. Si votre firmware est antérieur au correctif, planifiez une mise à jour prioritaire.
Le Secure Boot protège-t-il contre cette attaque DMA pré-boot ?
Le Secure Boot seul ne suffit pas. Cette vulnérabilité agit au niveau de la protection DMA avant même que Secure Boot n'intervienne pleinement. Secure Boot vérifie l'intégrité des composants logiciels au démarrage, mais l'attaque DMA permet d'accéder directement à la mémoire physique via le bus PCIe. La combinaison du correctif firmware, de Secure Boot activé et de la restriction d'accès physique constitue la meilleure défense.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Affinity : fuite de données après compromission d'un admin forum
Le forum d'Affinity compromis le 6 avril via un compte admin piraté. Emails, IP et métadonnées exposés. Changez vos mots de passe et surveillez le phishing ciblé.
Drift Protocol : 285 millions volés par des hackers nord-coréens
Le protocole DeFi Drift sur Solana a perdu 285 millions de dollars en 12 minutes. L'attaque, attribuée à la Corée du Nord, reposait sur six mois d'ingénierie sociale ciblant les signataires multisig.
Windows 11 : Microsoft corrige le bug du menu Démarrer
Microsoft corrige un bug cassant la recherche du menu Démarrer de Windows 11 23H2, causé par une mise à jour Bing côté serveur déployée le 6 avril.
Commentaires (1)
Laisser un commentaire