Le moteur d'administration Intel : une porte dérobée sur les cartes mères des PC
Qu'on peut désormais désactiver de façon totale

Le , par Patrick Ruiz, Chroniqueur Actualités
Des chercheurs de Positive Technologies (un fournisseur de solutions de sécurité pour les entreprises) ont trouvé un moyen de désactiver le moteur d’administration Intel (en anglais, Intel Management Engine 11), un microcontrôleur contenu dans le pont sud (PCH) des PC modernes et pointé du doigt par l’Electronic Frontier Foundation (EFF) comme étant un risque pour la sécurité des possesseurs de PC.

En effet, dans un billet de blog paru en mai dernier, l’EFF faisait état de vulnérabilités dans le module d’administration active (Active Management Technology, AMT), une couche micrologicielle, s’appuyant sur le moteur d’administration Intel, pour permettre à des administrateurs système de contrôler des ordinateurs via les réseaux d’entreprise dans lesquels ils sont insérés.

« Depuis 2008, la plupart des jeux de puces Intel contiennent un minuscule ordinateur appelé Management Engine (ME). La semaine dernière des vulnérabilités dans le module AMT de certains moteurs d’administration ont laissé beaucoup d’ordinateurs équipés de processeurs Intel vulnérables à des attaques locales et distantes. Bien qu’AMT puisse être désactivée, il n’existe présentement aucun moyen de désactiver ou limiter le moteur d’administration en général. Intel doit absolument en fournir un », prévenait alors l’organisation, soulignant au passage la relation entre l’AMT et le module d’administration.

C’est bien le cas d’évoquer la relation entre l’AMT et le module d’administration. Certes, Intel a annoncé la disponibilité d’un correctif de la vulnérabilité AMT depuis le 1er mai dernier, mais le module d’administration restait encore suffisamment obscur pour que d’autres sous-ensembles de ce dernier ouvrent la porte à des attaques. Des développements ultérieurs à cette correction ont montré que l’interface virtuelle Serial-over-Lan (SOL), une fonctionnalité de base de l’AMT, a été exploitée pendant une dizaine d’années pour mener des attaques contre des PC équipés d’un processeur compatible vPro.


L’AMT expose en effet un port série virtuel. L’accès à ce dernier se fait par le biais d’une console d’administration connectée de façon sécurisée à l’AMT au travers d’un port Ethernet. Des cybercriminels d’un groupe dénommé Platinum ont tiré profit de cette possibilité pour effectuer des transferts de données depuis des PC de façon furtive. Il fallait donc une solution pour désactiver le module d’administration de façon totale.

« Les méthodes décrites ici sont risquées et pourraient détruire votre ordinateur. Nous n’assumons pas la responsabilité des tentatives inspirées de nos développements et n’en garantissons pas le caractère fonctionnel. Pour ceux d’entre vous qui sont conscients des risques, nous leur recommandons d’utiliser un programmateur SPI », préviennent les chercheurs du centre européen Positive Technologies.

Intel aurait réservé la possibilité de désactiver le module à des agences gouvernementales américaines

La procédure de désactivation du module d’administration consisterait à flasher son firmware avec une version modifiée au niveau d’un bit particulier dénommé High Assurance Platform (HAP). Les chercheurs pensent qu’Intel aurait mis ce bit à disposition d’agences gouvernementales américaines pour qu’elles puissent désactiver le module d’administration.

Dans une réponse adressée aux chercheurs du centre européen, Intel déclare en effet qu’« en réponse aux requêtes formulées par des clients avec des besoins particuliers, nous explorons souvent la possibilité de désactiver certaines fonctionnalités. Dans ce cas, les modifications ont été faites à la demande de fabricants d’équipements soucieux de rester cohérents avec des exigences du programme gouvernemental High Assurance Platform (HAP). »

Sources : Positive Technologies, EFF

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Les processeurs Intel x86 souffrent d'un défaut qui permet d'installer des logiciels malveillants dans l'espace protégé des puces


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 30/08/2017 à 12:28
Citation Envoyé par Patrick Ruiz Voir le message
Qu’en pensez-vous ?
Je pense que les agences gouvernementales américaines ont demandé à beaucoup d'entreprise de mettre en place des portes dérobées.
Les entreprises ne pouvaient pas dire non à ces agences.

Du coup, une solution similaire doit probablement exister dans les processeurs AMD

Ce genre de news est marrant :
Yahoo! accusé d'espionner les emails pour le compte des autorités américaines
Le lanceur d'alertes avait alors montré qu'un tel programme permettait à l'agence de renseignement de disposer d'un accès direct aux données de très grandes entreprises américaines, telles que Google, Apple, Facebook et Microsoft. Interrogées à ce sujet par la presse américaine, ces dernières ont toutes démenti avoir reçu une telle demande de la part du gouvernement américain.
Genre le gouvernement va demander à Yahoo, mais pas à Google, ni Facebook...
Avatar de xurei xurei - Membre averti https://www.developpez.com
le 30/08/2017 à 13:34
Et du coup elle est où cette fameuse méthode pour le désactiver ?
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 31/08/2017 à 0:38
Citation Envoyé par xurei Voir le message
Et du coup elle est où cette fameuse méthode pour le désactiver ?
Regarde le lien vers Positive Technologies dans les sources de l'article. Il a été corrigé.
Avatar de Capitaine_aizen Capitaine_aizen - Membre régulier https://www.developpez.com
le 31/08/2017 à 9:56
Intel aurait réservé la possibilité de désactiver le module à des agences gouvernementales américaines

La procédure de désactivation du module d’administration consisterait à flasher son firmware avec une version modifiée au niveau d’un bit particulier dénommé High Assurance Platform (HAP). Les chercheurs pensent qu’Intel aurait mis ce bit à disposition d’agences gouvernementales américaines pour qu’elles puissent désactiver le module d’administration.

Dans une réponse adressée aux chercheurs du centre européen, Intel déclare en effet qu’« en réponse aux requêtes formulées par des clients avec des besoins particuliers, nous explorons souvent la possibilité de désactiver certaines fonctionnalités. Dans ce cas, les modifications ont été faites à la demande de fabricants d’équipements soucieux de rester cohérents avec des exigences du programme gouvernemental High Assurance Platform (HAP). »
Cette partie me choque énormément. Intel aurait donc su que c'était probablement un vecteur d'attaque (théorique ou backdoor ?) et aurait donné la possibilité aux agences gouvernementales américaines de pouvoir s'en prémunir mais les autres pays, institutions, organisme ou même particulier, non ! On peut, sur la plupart des cartes mères, désactiver le TPM dans le BIOS/UEFI. Pourquoi Intel n'a pas proposé la même chose ?
Ceci rend difficile de ne pas croire à une backdoor !

Mais le plus critique dans tout cette histoire, c'est qu'aucun gouvernements, institutions ne va demander des comptes à Intel pour ça ! Qu'une faille existe dans une partie du processeur, c'est normal. Aucun code n'est infaillible, je ne vois pas pourquoi pas il en serait de même avec un processeur. (Souvenez-vous du fameux fdiv sur les FPU Intel). Mais qu'un élément puisse servir de vecteur d'attaque aussi efficace ne puisse pas être désactivé, révèle presque de : Incompétence en sécurité (et je suis prêt à mettre ma main au feu qu'Intel dispose de personnes compétentes dans ce domaine) OU d'une complicité d'espionnage pour le compte de ceux-dont-on-ne-doit-pas-écrire-l-acronyme.

Anyway, AMD a tellement été stupide de pas ouvrir son code source avec les Ryzen Avec ceci à la charge d'Intel, il était sur de ramener des clients !!
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 31/08/2017 à 12:39
Citation Envoyé par Capitaine_aizen Voir le message
Mais le plus critique dans tout cette histoire, c'est qu'aucun gouvernements, institutions ne va demander des comptes à Intel pour ça !
+1

Les américains ont bien viré Kaspersky de la liste des fournisseurs pour l'administration. Quand est-ce que les européens (pays et union) vont enfin se réveiller ?

Petit rappel, car tout ceci n'est pas nouveau: https://www.fsf.org/blogs/community/...ent-technology
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 31/08/2017 à 12:59
Citation Envoyé par Patrick Ruiz Voir le message
Les chercheurs pensent qu’Intel aurait mis ce bit à disposition d’agences gouvernementales américaines pour qu’elles puissent désactiver le module d’administration.
Citation Envoyé par Capitaine_aizen Voir le message
Mais le plus critique dans tout cette histoire, c'est qu'aucun gouvernements, institutions ne va demander des comptes à Intel pour ça !
Intel n'a fait que suivre les ordres.
Et c'est pareil pour tous les autres fabricants US d'hardware...
Si une grosse administration US te "demande" de faire un truc, tu ne peux pas dire non.

De toute façon l'UE est allié avec les USA, l'UE accepte qu'il y ait des backdoors US partout.
Cette surveillance de masse pourrait potentiellement aider à lutter contre le terrorisme un jour.
Avatar de jpiotrowski jpiotrowski - Membre habitué https://www.developpez.com
le 29/09/2017 à 23:40
Citation Envoyé par AndMax Voir le message
+1

Les américains ont bien viré Kaspersky de la liste des fournisseurs pour l'administration. Quand est-ce que les européens (pays et union) vont enfin se réveiller ?

Petit rappel, car tout ceci n'est pas nouveau: https://www.fsf.org/blogs/community/...ent-technology
INTEL est malheureusement en position de force. Par qui le remplacer ?
Avatar de jpiotrowski jpiotrowski - Membre habitué https://www.developpez.com
le 29/09/2017 à 23:41
Citation Envoyé par Ryu2000 Voir le message
Intel n'a fait que suivre les ordres.
Et c'est pareil pour tous les autres fabricants US d'hardware...
Si une grosse administration US te "demande" de faire un truc, tu ne peux pas dire non.

De toute façon l'UE est allié avec les USA, l'UE accepte qu'il y ait des backdoors US partout.
Cette surveillance de masse pourrait potentiellement aider à lutter contre le terrorisme un jour.
On en constate l'efficacité depuis quelques années...
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 30/09/2017 à 13:01
Citation Envoyé par jpiotrowski Voir le message
INTEL est malheureusement en position de force. Par qui le remplacer ?
Avoir un système qui ne soit pas grand ouvert pour la NSA (et pour toutes les mafias du monde) a bien évidement un coût, mais comparé aux millions perdus par des entreprises qui ont eu des données sensibles volées par un "concurrent", c'est assez dérisoire.

Un exemple ici avec une autre marque de CPU et un BIOS libre:
https://secure.raptorcs.com/
Contacter le responsable de la rubrique Accueil