80% des entreprises ont subi une attaque de micrologiciel au cours des deux dernières années, selon une étude de Microsoft réalisée en mars 2021 par Hypothesis Group. Pourtant, moins d’un tiers de leurs budgets de sécurité est consacré à la protection contre ces attaques de firmware.
L’étude Security Signals montre que « les investissements actuels vont aux mises à jour de sécurité, à l’analyse des vulnérabilités et aux solutions de protection contre les menaces avancées », note Microsoft. D’après le géant de Redmond, les équipes de sécurité se concentrent sur des modèles de sécurité de type « protéger et détecter ». « Seul 39% du temps des équipes de sécurité est consacré à la prévention. (…) Les vulnérabilités des micrologiciels sont exacerbées par un manque de sensibilisation et un manque d’automatisation. »
En effet, 82% des 1 000 décideurs IT interrogés admettent ne pas disposer de ressources suffisantes pour s’attaquer aux tâches de sécurité à fort impact car ils sont trop occupés à gérer les correctifs logiciels, les mises à niveau matérielles et l’atténuation des vulnérabilités internes et externes.
Et Microsoft de faire la promotion de sa « classe émergente de matériel à cœur sécurisé », comme la tablette Surface Pro X basée sur Arm, avec un processeur SQ2, ou encore les PC Dragonfly de HP ; sans oublier qu’elle a lancé un scanner UEFI dans Microsoft Defender ATP en juin dernier et une gamme de PC Windows 10 « Secured-Core » en octobre 2019.
Outre l’alibi promotionnel, on note que les microprogrammes vivent sous le système d’exploitation et ne sont pas détectables par les logiciels antivirus. C’est là que les informations d’identification et les clés de chiffrement sont stockées en mémoire.
« De nombreux appareils sur le marché n’offrent pas de visibilité sur cette couche à l’heure actuelle. Rien ne permet d’être sûr que les attaquants n’ont pas compromis un appareil avant le processus de démarrage ou au moment de l’exécution sous le noyau. Et les attaquants l’ont bien remarqué », déclare Microsoft.