En bref
Que s'est-il passé ?
Les serveurs de mise à jour d'ASUS sont compromis : une version backdoorée et signée de l'ASUS Live Update Utility (préinstallée sur de nombreux PC) est distribuée aux utilisateurs.
Les attaquants disposent de l'infrastructure de mise à jour et de la clé de signature de code, diffusant un binaire malveillant paraissant légitime. Un second étage ne s'active que sur des systèmes ciblés.
Plus d'un million d'utilisateurs ont pu installer la version piégée (57 000 rien que chez Kaspersky) ; une charge secondaire visait ~600 systèmes dont les adresses MAC étaient codées en dur.
Protéger les clés de signature (HSM, accès restreint), sécuriser l'infrastructure de mise à jour, vérifier la provenance au-delà de la seule signature, et builds reproductibles.
Chronologie de l'attaque
Kaspersky dévoile qu'ASUS Live Update, signé et distribué officiellement, a livré un binaire piégé à près d'un million de machines, activé sur environ 600 adresses MAC ciblées.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
Provenance non falsifiable et vérification d'intégrité à la réception, même pour un éditeur de confiance.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 13 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :