SANTA MONICA, Californie–(BUSINESS WIRE)–Binarly, leader du secteur de la sécurité des chaînes d’approvisionnement des logiciels et micrologiciels, a annoncé aujourd’hui une présentation à venir lors de la conférence DistrictCon intitulée « Broken Trust : chaînes de contournement du micrologiciel, persistance BMC et évasion EDR ». La session détaillera comment les chaînes d’attaques au niveau du micrologiciel observées dans les appareils d’entreprise commercialisés peuvent efficacement compromettre les défenses modernes des terminaux, permettant ainsi une compromission furtive et une persistance à long terme.

Dans cette présentation, l’équipe Binarly REsearch démantèlera l’hypothèse de la confiance dans le matériel en présentant plusieurs chaînes de contournement du micrologiciel issues du monde réel. Alex Matrosov et Fabio Pagani fourniront une analyse approfondie des classes de vulnérabilités spécifiques et des primitives d’exploitation qui rendent ces attaques fiables dans la pratique. L’équipe fera également une démonstration en direct compromettant un système entièrement patché, illustrant comment les solutions de détection et de réponse aux incidents sur les terminaux (EDR) peuvent être aveuglées bien avant même que les pilotes du noyau ne soient initialisés.

La recherche DistrictCon détaillera les vulnérabilités CVE-2025-12006 et CVE-2025-12007, deux nouvelles vulnérabilités Supermicro BMC à fort impact qui permettent aux attaquants d’installer des images de micrologiciels malveillants et de maintenir des implants persistants et difficiles à supprimer à l’intérieur de l’infrastructure du serveur. Binarly exposera les causes techniques sous-jacentes et discutera des implications en matière d’atténuation pour les fournisseurs de plateformes, les défenseurs d’entreprise et les équipes d’intervention en cas d’incident.

La recherche met notamment en évidence la dette de sécurité croissante dans le secteur en pleine expansion des infrastructures d’IA. Alors que les organisations se précipitent pour déployer des clusters de calcul à haute densité afin d’alimenter l’IA générative, la dépendance à l’égard des performances du matériel dépasse souvent la vérification de la sécurité du matériel. Les conclusions de Binarly démontrent comment la persistance au niveau du micrologiciel peut survivre au réapprovisionnement standard des serveurs, permettant potentiellement aux attaquants de franchir les limites des locataires pour accéder à des données et des modèles propriétaires.

« Le micrologiciel est la couche où la confiance est supposée, et non vérifiée en permanence, et les attaquants en tirent pleinement parti », déclare Alex Matrosov, directeur général et directeur de la recherche chez Binarly. « Dans Broken Trust, nous montrerons comment les chaînes de contournement que nous avons trouvées dans les micrologiciels livrés, notamment CVE-2025-12006 et CVE-2025-12007, justifient la surveillance à l’échelle de la chaîne d’approvisionnement. Car dans le monde réel, une petite erreur dans la logique de validation ne reste pas mineure, elle se transforme en persistance et en risque à l’échelle de l’entreprise. »

La mission permanente de Binarly est de fournir des informations exploitables et une transparence évolutive dans les chaînes d’approvisionnement des logiciels et des micrologiciels en aidant les organisations à détecter rapidement les faiblesses et à réduire les risques systémiques dans les écosystèmes mondiaux des fournisseurs d’appareils et de logiciels.

À propos de Binarly

Binarly est une société américaine de sécurité de la chaîne d’approvisionnement des micrologiciels et des logiciels fondée en 2021. Sa Binarly Transparency Platform aide les fabricants d’appareils, les équipementiers et les équipes de sécurité des produits d’entreprise à détecter les vulnérabilités, les mauvaises configurations, les secrets et les codes malveillants dans les chaînes d’approvisionnement périphériques et logicielles. Grâce à des décennies de recherche et d’expertise en analyse de programmes, nous sécurisons les entreprises, les infrastructures critiques et les consommateurs, tout en aidant les organisations à passer à un environnement de cryptographie post-quantique (PQC). Rendez-vous sur https://binarly.io pour plus d’informations.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

Contact médias :
igor@binarly.io