System76 va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux
Après la découverte de vulnérabilités
Le 2017-12-01 23:23:26, par Stéphane le calme, Chroniqueur Actualités
Le mois dernier, Intel a publié un avis de sécurité avertissant les fabricants et les utilisateurs de son Management Engine d'un certain nombre de vulnérabilités et de bogues détectés au niveau du firmware, également présents dans ses services de plateforme serveur et Trusted Execution Engine.
Les chercheurs en sécurité ont averti qu’une attaque via ces vulnérabilités peut permettre aux cybercriminels de provoquer une instabilité avec des plantages du système, notant qu'ils ont également trouvé un moyen « d’usurper l'identité » du moteur et, par la même occasion, de tuer les mécanismes de sécurité existants.
Plutôt que de corriger les bogues, System76 a annoncé qu'il allait déployer une mise à jour de son firmware dans laquelle Intel Management Engine sera supprimée. Techniquement, ce n'est pas ce qu’Intel souhaite que vous fassiez : non seulement le fabricant de puces ne vous dit pas ce qu'il y a dans le code, mais en plus il ne fournit pas « d'interrupteur ».
Pourtant, des chercheurs indépendants ont récemment découvert un moyen de désactiver le moteur de gestion Intel, et System76 compte bien en profiter :
« Le code propriétaire rend toujours la vie plus difficile et le firmware Management Engine (ME) d'Intel est un morceau particulièrement complexe de logiciels secrets. Suite à des problèmes identifiés par des chercheurs en sécurité externes, Intel a lancé un audit de son firmware ME et découvert plusieurs vulnérabilités critiques [...] Tout ceci a conduit System76 à concevoir ce plan visant à répondre à l'annonce de la vulnérabilité d'Intel du 20 novembre et à notre capacité à répondre aux futurs besoins de mise à jour du firmware :
Comme le flogger Linux l’a expliqué, « Il y a un nombre important de tests et de validations nécessaires avant de fournir le firmware mis à jour et ME désactivé. La désactivation du ME réduira les vulnérabilités futures et l'utilisation de notre nouvelle infrastructure de distribution de firmwares permettra aux futures mises à jour de se dérouler extrêmement rapidement et avec un pourcentage d'adoption plus élevé. »
Mais si les plans de System76 impliquent de se servir de la recherche qui a permis de trouver un moyen d’arrêter le ME d’Intel, le flogger est bien conscient qu’Intel pourrait modifier son code source pour que cela ne soit plus d’actualité : « Il est important de noter qu’alors que nous pouvons actuellement désactiver le ME sur les ordinateurs portables, Intel peut changer le fonctionnement du périphérique dans le futur. Nous implorons Intel de conserver la possibilité pour les fabricants d'appareils et les consommateurs de désactiver le ME. »
Une annonce qui arrive après que Purism, un autre flogger de matériel Linux, a également annoncé son intention de désactiver le firmware défectueux. La gamme de portables Librem de la société, qui exécute Coreboot, un firmware open source flexible, fonctionne désormais avec le service de gestion d'Intel complètement désactivé.
Zlatan Todoric, directeur technique de Purism, avait alors déclaré : « Les ordinateurs portables Purism Librem étaient déjà les ordinateurs Intel les plus sécurisés disponibles sur le marché aujourd'hui, mais la désactivation du moteur de gestion renforce clairement cette déclaration. »
Source : billet System76
Et vous ?
Les chercheurs en sécurité ont averti qu’une attaque via ces vulnérabilités peut permettre aux cybercriminels de provoquer une instabilité avec des plantages du système, notant qu'ils ont également trouvé un moyen « d’usurper l'identité » du moteur et, par la même occasion, de tuer les mécanismes de sécurité existants.
Plutôt que de corriger les bogues, System76 a annoncé qu'il allait déployer une mise à jour de son firmware dans laquelle Intel Management Engine sera supprimée. Techniquement, ce n'est pas ce qu’Intel souhaite que vous fassiez : non seulement le fabricant de puces ne vous dit pas ce qu'il y a dans le code, mais en plus il ne fournit pas « d'interrupteur ».
Pourtant, des chercheurs indépendants ont récemment découvert un moyen de désactiver le moteur de gestion Intel, et System76 compte bien en profiter :
« Le code propriétaire rend toujours la vie plus difficile et le firmware Management Engine (ME) d'Intel est un morceau particulièrement complexe de logiciels secrets. Suite à des problèmes identifiés par des chercheurs en sécurité externes, Intel a lancé un audit de son firmware ME et découvert plusieurs vulnérabilités critiques [...] Tout ceci a conduit System76 à concevoir ce plan visant à répondre à l'annonce de la vulnérabilité d'Intel du 20 novembre et à notre capacité à répondre aux futurs besoins de mise à jour du firmware :
- System76 fournira automatiquement le firmware mis à jour avec un ME désactivé sur les ordinateurs portables Intel 6e, 7e et 8e génération. Le ME ne fournit aucune fonctionnalité aux clients de l'ordinateur portable System76 et peut être désactivé en toute sécurité ;
- le déploiement aura lieu au fil du temps et les clients seront informés par e-mail avant la livraison ;
- votre ordinateur doit tourner sur Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop! _OS 17.10, ou un dérivé Ubuntu et avoir le pilote System76 installé pour recevoir le dernier firmware et ME désactivé sur les ordinateurs portables ;
- System76 étudiera la création d'un outil d'installation de firmware de ligne de commande distro-agnostique ;
- System76 ne désactivera pas le ME sur les ordinateurs de bureau, mais fournira le firmware ME mis à jour ;
- les clients Desktop recevront des instructions pour la mise à jour du ME par e-mail dès qu'elle est disponible. »
Comme le flogger Linux l’a expliqué, « Il y a un nombre important de tests et de validations nécessaires avant de fournir le firmware mis à jour et ME désactivé. La désactivation du ME réduira les vulnérabilités futures et l'utilisation de notre nouvelle infrastructure de distribution de firmwares permettra aux futures mises à jour de se dérouler extrêmement rapidement et avec un pourcentage d'adoption plus élevé. »
Mais si les plans de System76 impliquent de se servir de la recherche qui a permis de trouver un moyen d’arrêter le ME d’Intel, le flogger est bien conscient qu’Intel pourrait modifier son code source pour que cela ne soit plus d’actualité : « Il est important de noter qu’alors que nous pouvons actuellement désactiver le ME sur les ordinateurs portables, Intel peut changer le fonctionnement du périphérique dans le futur. Nous implorons Intel de conserver la possibilité pour les fabricants d'appareils et les consommateurs de désactiver le ME. »
Une annonce qui arrive après que Purism, un autre flogger de matériel Linux, a également annoncé son intention de désactiver le firmware défectueux. La gamme de portables Librem de la société, qui exécute Coreboot, un firmware open source flexible, fonctionne désormais avec le service de gestion d'Intel complètement désactivé.
Zlatan Todoric, directeur technique de Purism, avait alors déclaré : « Les ordinateurs portables Purism Librem étaient déjà les ordinateurs Intel les plus sécurisés disponibles sur le marché aujourd'hui, mais la désactivation du moteur de gestion renforce clairement cette déclaration. »
Source : billet System76
Et vous ?
-
UtherExpert éminent séniorPour moi c'est juste ahurissant que Intel n'ai pas fait le ME désactivable, et désactivé par défaut, ça ouvre un potentiel de faille de sécurité énorme pour une fonctionnalité dont la très grande majorité des utilisateurs n'a absolument pas besoin.le 02/12/2017 à 16:08
-
N_BaHModérateurqui est System76 ?
il en a déjà été question sur Developpez.com ? alors, il faut faire un renvoi vers les articles, sinon il faut la présenter.le 04/12/2017 à 1:23 -
a028762Membre confirméDéjà l'existance même du ME d'Intel sous l'OS ... Ca dépasse mon cadre habituel ce genre de souci de sécurité.
Content qu'il y ait des concepteurs de système Unix qui s'occupent de celà, même si cela semble fragile.le 02/12/2017 à 10:56 -
UtherExpert éminent séniorC'est un fabricant de PC. Comme Dell, HP ou Lenovo sauf qu'il est de taille bien plus modeste.le 04/12/2017 à 7:42
-
BufferBobExpert éminentaprès System76, puis Purism, et maintenant Dell
y'a encore quelques années on appelait ça "de la publicité" ou "de la récupération marketing", aujourd'hui apparemment on appelle ça "des actus", "de l'information", ça passe crème personne ne trouve rien à redire, c'est beau...
source : liliputing via Slashdotle 03/12/2017 à 22:58 -
BufferBobExpert éminentle 04/12/2017 à 7:45
-
SurferIXMembre chevronnéSur la forme, ok : couper Intel, ok. Mais sur le fond. Sur les réels fautifs. Allons voir chez Intel.
Ce qui m'intéresserait vraiment (mais je ne pense pas qu'on le sache un jour), c'est de savoir quels sont les développeurs fautifs, où ils se trouvent (sont-ils tranquillement installés derrière leurs deux écrans 4k à boire du café, ou sont-ils ceux qu'on ne paie pas cher et qui doivent suivre 2 heures de yoga le matin pour supporter la pression et les insultes pour développer vite toute la journée), et si ce sont eux-même qui ont compris leurs fautes, et fait les corrections (parce que si ce ne sont pas eux qui ont fait les corrections, ils vont continuer à répandre leur mauvais code partout).le 08/12/2017 à 9:41 -
LocekaExpert confirméJe comprends pas très bien...
Intel ME est un "truc" qui s'exécute avant le démarrage de l'OS (il est apparement actif même l'ordinateur éteint, il suffit qu'il soit alimenté (batterie ou secteur) et connecté à internet pour qu'on puisse l'activer).
Du coup, en quoi le fait de faire un patch sur Ubuntu peut le désactiver ?
Si on suppose que ça marche, ayant Mint (donc un fork d'Ubuntu) mais sur un portable d'un autre constructeur (Clevo), m'est-il possible de bénéficier de leur patch ou est-ce réservé aux portables de System76 ?
Personnellement c'est le genre de "détails" qui m'intéressent : comprendre comment ça marche et quelles sont les limitations.le 08/12/2017 à 9:59 -
N_BaHModérateurà l'instar d'un wol, si on peut laisser un périphérique "allumé" lors de l'extinction, il doit être possible d'en "éteindre" un.Du coup, en quoi le fait de faire un patch sur Ubuntu peut le désactiver ?
?le 08/12/2017 à 13:05 -
UtherExpert éminent séniorNon, ça ne marchera pas avec les machines d'autre constructeurs.
Le code qui empêche le ME de fonctionner n'est pas dans Ubuntu mais dans le firmware de l'appareil, stocké une mémoire flash sur carte mère. Le firmware contient du code spécifique a ton appareil pour gérer ton matériel. Si tu pouvais installer le firmware d'un autre appareil sur le tien, ça le rendrait probablement inutilisable, mais il y a normalement des protections pour l'empêcher.
Ubuntu n'est nécessaire que pour faire fonctionner le logiciel qui fait la mise à jour du firmware dans la mémoire flash de la carte mère.le 08/12/2017 à 13:34