Une faille UEFI dans les cartes mères ASRock, ASUS, Gigabyte et MSI permet des attaques DMA pré-boot. Quatre CVE attribués. Mises à jour firmware à appliquer en priorité.
En bref
- Une vulnérabilité UEFI permet des attaques DMA pré-boot sur les cartes mères ASRock, ASUS, Gigabyte et MSI.
- CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 et CVE-2025-14304 affectent la protection DMA au démarrage.
- Action requise : appliquer les mises à jour firmware des constructeurs et restreindre l'accès physique aux machines critiques.
Les faits
Des chercheurs en sécurité de Riot Games — Nick Peterson et Mohamed Al-Sharifi — ont découvert une faille fondamentale dans l'implémentation UEFI de quatre grands fabricants de cartes mères : ASRock, ASUS, Gigabyte et MSI. La vulnérabilité, divulguée de manière responsable et rendue publique début avril 2026, concerne une incohérence dans le statut de protection DMA (Direct Memory Access) pendant la phase de démarrage. Concrètement, le firmware indique que la protection DMA est active alors qu'il ne configure ni n'active l'IOMMU durant cette phase critique.
Quatre identifiants CVE ont été attribués : CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 et CVE-2025-14304, couvrant respectivement chaque fabricant affecté. Selon SecurityWeek et BleepingComputer, un attaquant disposant d'un accès physique peut connecter un périphérique PCI Express malveillant pour accéder à la mémoire système ou injecter du code avant le chargement du système d'exploitation, contournant ainsi les mécanismes de sécurité logiciels traditionnels.
Impact et exposition
L'exploitation nécessite un accès physique au port PCIe de la machine cible, ce qui limite le risque pour les postes de travail classiques en environnement contrôlé. Cependant, les scénarios suivants sont particulièrement exposés : serveurs en colocation ou datacenters partagés, postes en libre-service (kiosques, bornes), machines de développement dans des espaces ouverts, et tout environnement où le matériel peut être manipulé par un tiers. L'attaque permet l'injection de code pré-boot, ce qui rend inefficaces toutes les protections logicielles — antivirus, EDR, chiffrement disque — qui ne sont activées qu'après le démarrage de l'OS. Un attaquant peut ainsi installer un bootkit persistant indétectable par les outils de sécurité conventionnels.
Recommandations
- Appliquer immédiatement les mises à jour firmware publiées par ASRock, ASUS, Gigabyte et MSI pour les cartes mères affectées.
- Activer Secure Boot et vérifier que la configuration UEFI n'a pas été altérée sur les machines critiques.
- Restreindre l'accès physique aux serveurs et postes sensibles : verrouillage des châssis, surveillance des salles serveurs, contrôle d'accès strict.
- Intégrer la vérification de l'intégrité firmware dans vos procédures d'audit de sécurité régulières.
Quelles cartes mères sont concernées et comment vérifier si je suis affecté ?
Les quatre fabricants concernés sont ASRock, ASUS, Gigabyte et MSI. Consultez les bulletins de sécurité de chaque constructeur pour la liste exacte des modèles affectés. En attendant, vérifiez la version de votre firmware UEFI dans les paramètres BIOS et comparez-la avec la dernière version disponible sur le site du fabricant. Si votre firmware est antérieur au correctif, planifiez une mise à jour prioritaire.
Le Secure Boot protège-t-il contre cette attaque DMA pré-boot ?
Le Secure Boot seul ne suffit pas. Cette vulnérabilité agit au niveau de la protection DMA avant même que Secure Boot n'intervienne pleinement. Secure Boot vérifie l'intégrité des composants logiciels au démarrage, mais l'attaque DMA permet d'accéder directement à la mémoire physique via le bus PCIe. La combinaison du correctif firmware, de Secure Boot activé et de la restriction d'accès physique constitue la meilleure défense.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire