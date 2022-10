Le code-source de l'UEFI BIOS des processeurs Alder Lake d'Intel a fuité. Voilà ce que confirme Intel même. Alder Lake est la douzième génération de processeurs Intel Core de l'entreprise, lancée en novembre 2021.

La semaine dernière, un utilisateur inséra sur Twitter des liens vers le prétendu code-source du micrologiciel UEFI des processeurs Alder Lake. Ces liens mènent à un référentiel GitHub appelé 'ICE_TEA_BIOS' déposé par l'utilisateur 'LCFCASD'. Le descriptif du référentiel est le suivant: 'Le BIOS Code du projet C970'. Les liens en question ont été découverts et analysés par les sites technologiques Tom's Hardware et Bleeping Computer.

La fuite comprend 5,97 Go de données en tout. Il est question notamment de code-source, clés privées, journaux de modification et outils de compilation. L'origine des données n'est pas claire. Elles peuvent avoir été volées par un pirate, mais tout aussi bien avoir été divulguées par un collaborateur. Les données semblent avoir été copiées le 30 septembre par l'auteur.

Authentique

Intel confirme aujourd'hui que le code-source est authentique. 'Notre propre code UEFI semble avoir été dérobé par un acteur tiers', signale l'entreprise à Tom's Hardware. 'Nous ne croyons pas que cela va engendrer de nouveaux problèmes de sécurité, étant donné que nous ne faisons pas confiance à la confidentialité d'informations comme mesure de sécurité. Ce code relève de notre programme 'bug bounty' (récompenses) dans le cadre de la campagne Project Circuit Breaker, et nous invitons tous les chercheurs qui identifient de possibles failles à nous en informer via ce programme. Nous prenons contact tant avec les clients qu'avec la communauté des chercheurs en sécurité pour les tenir au courant de la situation.'

Même si Intel prétend donc que l'impact sur la sécurité est limité, des experts dans le domaine se font néanmoins du souci à propos de la fuite de données. Ils craignent entre autres que des agresseurs puissent trouver des failles dans les données fuitées.

En collaboration avec Dutch IT Channel

