Accueil Actualités Détails
Microsoft corrige une faille du firmware des Surface pouvant rendre les appareils inutilisables
2026-06-15 15:47
Favoris

fr.wedoany.com Rapport : Le chercheur en sécurité australien Jack Darcy a découvert une faille dans le firmware des appareils Microsoft Surface, permettant de les rendre inutilisables via un seul paquet de données, à condition que l'utilisateur ait désactivé Secure Core et Secure Boot. Le logiciel d'IA Copilot de Microsoft a joué un rôle clé dans cette découverte.

Darcy a expliqué aux médias que son instance de Microsoft Copilot avait accidentellement déclenché la faille lorsqu'il lui avait demandé de régler le rétroéclairage de l'écran de son appareil Surface. Le script Python généré par Copilot a finalement écrasé le firmware du contrôleur intégré, rendant l'ordinateur portable inutilisable. Lors de la détection des valeurs de contrôle du rétroéclairage, Copilot a créé et exécuté de manière autonome quatre scripts Python de plus en plus agressifs, qui ont envoyé des commandes SSAM ioctl brutes (SSAM_CDEV_REQUEST = 0xC028A501) au microcontrôleur SAM via le chemin logiciel SAM. SAM ou SSAM est le contrôleur intégré utilisé dans les appareils Surface, et l'implémentation de Microsoft sur ce contrôleur ne comporte pas de mécanisme de défense contre les écritures de valeurs arbitraires.

Microsoft ne considère pas cette faille comme une menace réelle. Un porte-parole a indiqué que pour exploiter la faille avec succès, un attaquant devrait interagir avec un pilote spécifique et envoyer des commandes à l'interface matérielle, tout en disposant de privilèges administrateur et en ayant désactivé la fonction Secure Boot.

Darcy a précisé que, normalement, les appareils numériques nécessitent de maintenir un bouton enfoncé ou de connecter un cavalier pour activer l'accès en écriture arbitraire, mais que les appareils Surface ne disposent pas de cette vérification de sécurité, ce qui a permis à Copilot de corrompre le firmware en l'absence de Secure Core et Secure Boot. La détection a déclenché une commande de mise à jour SAM, écrasant le firmware UEFI et Secure Boot. Les appareils Surface concernés ne pourront pas s'initialiser au redémarrage et ne pourront pas effectuer le test de démarrage.

Le script Python écrit par Copilot sur l'appareil Surface de Darcy a itéré aveuglément sur des paires spécifiques de catégories cibles (Target Category) et d'identifiants de commande (CID), envoyant des charges utiles vides à la commande WRITE. En conséquence, les commandes SET Feature Report et Output Report ont été appelées avec des charges vides, d'autres CID ont été touchés par des commandes SET écrivant des données indésirables, et l'appareil est devenu inutilisable. Selon les informations, les appareils rendus inopérants en raison de l'accès SAM sont définitivement irrécupérables et nécessitent le remplacement de la carte mère.

Darcy a indiqué que la conception du bus SAM est défectueuse, avec un entrelacement dangereux des CID. Les lectures et les écritures sont entrelacées dans le même espace de numérotation, sans plage de détection sécurisée. Scanner deux CID consécutifs présente un risque de 50 % de tomber sur une commande d'écriture.

The Register a interrogé Microsoft à ce sujet le 10 mars 2026. Un porte-parole de l'entreprise a suggéré au chercheur de contacter le Microsoft Security Response Center (MSRC). Le 12 mars, avec l'aide des relations presse de Microsoft, Darcy a eu une conversation avec Madeline Eckert, chef de projet senior au MSRC. Microsoft a reconnu la faille et a promis de publier un correctif. La plupart des appareils concernés ont déjà été mis à jour via Windows Update ou le seront dans les semaines à venir. Microsoft a déclaré que le problème n'atteignait pas le seuil d'attribution d'un CVE.

Les utilisateurs de Linux, les utilisateurs de Windows ayant désactivé Secure Core et Secure Boot pour les jeux, les utilisateurs de pilotes Windows personnalisés, ou ceux ayant activé le démarrage USB, dont le système n'a pas encore reçu la mise à jour, pourraient encore être vulnérables. Selon les sources, tous les appareils Surface (Surface Laptops 3-6, Surface Book 1-3), à l'exception des modèles Surface Go, sont concernés. Les variantes ARM n'ont pas encore été testées.

Dans le cadre du processus de correction, Microsoft prévoit de migrer la pile Surface vers Rust. David Abzarian, architecte principal de Surface chez Microsoft, a indiqué que le matériel Surface for Business passera à l'avenir à une architecture plus sécurisée basée sur du code Rust, couvrant le contrôleur intégré, l'UEFI et certains pilotes. Microsoft construit le firmware du contrôleur intégré et le cœur UEFI DXE en Rust via les projets Secure EC et Project Patina, et contribue au développement du framework Windows Drivers in Rust (WDR).

Darcy a commenté qu'il s'agissait d'une décision de conception intéressante de permettre la destruction irréversible d'un appareil depuis l'espace utilisateur. Il apprécie la gamme Surface de Microsoft, mais espère davantage d'innovation dans la validation des données entrantes au niveau du firmware. Microsoft a offert un ordinateur portable Surface à Darcy en remerciement.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com

États-Unis
Information et communicationIngénierie de la confidentialité des informations et de la sécurité des données
Préc:Le GITEX de Berlin fixe une nouvelle orientation IA pour l’économie technologique européenne de 1 500 milliards d’euros
Suiv:Teleport remporte le prix de la plateforme de gestion d'identité la plus innovante aux Cybersecurity Stars 2026
Produits Associés
Demander un devis
Stockage intelligent
Jiangsu Zhongtian Technology Co., Ltd.
Demander un devis
Radar de profil de vent troposphérique TWP16 en bande P
China Huayun Meteorological Technology Group Co., Ltd.
Demander un devis
Tour de communication à quatre colonnes pour les lignes dédiées aux passagers
Henan Dingli Pole & Tower Co.,Ltd.
Demander un devis
Profilés d’armoire en T
Xinli Tongchuang Electronic Equipment Co., Ltd.
Demander un devis
Produit de système de multiplexage par division de longueur d’onde (WDM)
SHENZHEN SDG INFORMATION CO., LTD.
Demander un devis
25 Système de contrôle électro-hydraulique pour supports hydrauliques SAC
Beijing Tianma Intelligent Control Technology Co., Ltd.
Demander un devis
Commutateur industriel entièrement national
Shenzhen Yuhang Communication Technology Co., Ltd.
Demander un devis
Système de supervision intelligente en boucle fermée pour la sécurité du transport routier
Beijing Bower Logistics Co., Ltd.
Demander un devis
Câble optique à tube central GYXTW
DONGGUAN TW-SCIE CO., LTD.
Demander un devis
Véhicule sans conducteur à caisse X3 Xinshiqi
Neolix Beijing Technology Co., Ltd.
Demander un devis
Terminal satellite portable à panneau plat - Terminal portable manuel de 0,35 mètre
China Starwin Science & Technology co., Ltd.
Demander un devis
Calibrateur de pression automatique intelligent ConST811A
Beijing ConST Instruments Technology Inc.
Recommandés
La société slovène ELES participe au projet européen de modèle de réseau électrique basé sur l’IA
2026-06-15
IEC Telecom Indonesia crée une filiale locale pour étendre ses services de connectivité par satellite
2026-06-15
L’Autorité de régulation des télécommunications de l’Inde (TRAI) promeut les règles de communication V2X pour redéfinir la connectivité des routes intelligentes
2026-06-15
TCS (Inde) s'associe à Anthropic pour étendre le déploiement de l'IA générative en entreprise
2026-06-15
Le Département des Sciences et Technologies des Philippines va tester un système de transport intelligent pour les véhicules d'urgence
2026-06-15
Alibaba Cloud lance une région de cloud public à Johor, en Malaisie
2026-06-15
Le Département des Sciences et Technologies des Philippines va tester un système de transport intelligent pour les véhicules d'urgence
2026-06-15
Songyan Power lance le robot humanoïde grand public N2 sous OpenHarmony
2026-06-15
Westwell étend ses opérations de fret aérien avec la stratégie « IA + énergies nouvelles »
2026-06-15
Manz Asia livre avec succès le premier système de production ECD pour l'encapsulation au niveau panneau de 310 mm au monde
2026-06-15
Derniers Bulletins
1
XCMG dévoile au Kazakhstan une solution de mine intelligente zéro carbone
2
La cession de droits miniers obtenus par accord en Chine interdite si détenus depuis moins de 5 ans
3
La société slovène ELES participe au projet européen de modèle de réseau électrique basé sur l’IA
4
Accident à la mine d'argent Columba de Kootenay Silver au Mexique : arrêt de la production
5
L’assemblée générale de la société minière canadienne Hemlo Mining approuve le transfert de cotation à la Bourse de Toronto
6
FedEx inaugure une installation logistique à Bundaberg, en Australie, capable de traiter 1 500 colis par heure
7
En 2026, 44 trains à batterie Flirt Akku testés en Sarre, Allemagne
8
Le Département des Transports des États-Unis publie en juin 2026 un appel à projets de 626,7 millions de dollars pour le transport multimodal
9
Zoomlion de Chine décroche des commandes de plus de 10 milliards de yuans au salon KOMATEK et renforce sa présence en Turquie
10
IEC Telecom Indonesia crée une filiale locale pour étendre ses services de connectivité par satellite