+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Rédacteur/Modérateur

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mars 2017
    Messages
    270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2017
    Messages : 270
    Points : 19 084
    Points
    19 084

    Par défaut Un malware utilise une fonction sournoise des processeurs Intel pour voler des données

    Un malware utilise une fonction sournoise des processeurs Intel pour voler des données
    Et éviter les pare-feu depuis presque dix ans

    Microsoft a découvert une nouvelle famille de malwares qui exploite la technologie d’administration active (Active Management Technology, AMT) et l’interface Serial-over-LAN (SOL) d’Intel pour effectuer des transferts de données sans éveiller les soupçons. AMT et SOL sont deux fonctionnalités qui appartiennent au moteur d’administration (Management Engine, ME) d’Intel.

    Le moteur d’administration d’Intel (Intel ME) fait référence aux fonctionnalités matérielles de bas niveau d’une plateforme avec l’environnement logiciel interactif qui leur est propre, permettant de gérer une plateforme à distance (très utile en entreprise).

    La technologie AMT d’Intel se compose d’un système matériel indépendant intégré au processeur et d’un micrologiciel d’administration et de prise de contrôle à distance de l’ordinateur. AMT fait partie de la technologie vPro™ d’Intel. Les plateformes équipées de processeurs compatibles Intel® AMT peuvent être gérées à distance, même si le système d’exploitation n’est pas disponible ou que le système est éteint, tant que la plateforme en question est branchée au secteur et connectée à un réseau. Les systèmes compatibles Intel® AMT ont un accès spécial hors bande au réseau leur permettant d’envoyer et de recevoir des données via TCP.

    L’interface SOL donne accès à une console virtuelle via TCP qui permet commander l’exécution de tâches à la machine distante : allumage, extinction, capture d’écran ou de paquets réseau, lecture de fichiers, accès aux programmes en cours d’exécution, démarrage de la webcam ou du micro, sabotage, etc.

    Le trafic au niveau du SOL utilise un accès de communication privé, anonyme et indépendant du reste de l’équipement réseau de l’ordinateur. Les pare-feu locaux et les logiciels de sécurité, ne sachant pas qu’il existe, sont incapables de le détecter, et encore moins de contrôler son contenu.

    Nom : 1.png
Affichages : 6519
Taille : 68,0 Ko

    En mai 2017, les ingénieurs d’Intel se sont rendu compte qu’une faille critique du module AMT permettait de contrôler à distance des ordinateurs et que cette faille était exploitée depuis 2008. Intel a publié une mise à jour pour le firmware de ses microprocesseurs concernés. Intel a aussi publié un logiciel open source qui par défaut, désactive sous Windows l’accès aux fonctionnalités AMT.

    Lorsque Microsoft a contacté Intel, le fondeur a dit que Platinum n’exploitait pas une faille en tant que telle, mais plutôt une technologie développée à des fins utiles qui s’est retrouvée entre de mauvaises mains l’exploitant à mauvais escient.

    Microsoft n’a pas été en mesure de dire si les pirates ont trouvé le moyen d’activer de façon volontaire l’AMT pour exploiter la faille ou s’ils peuvent simplement l’exploiter lorsque la fonction est déjà activée.

    C’est un groupe de hackers nommé Platinum, opérant dans la zone Asie du Sud et Asie du Sud-est, serait à l’origine du malware qui exploite cette faille. D’après les informations qu’ils possèdent, les ingénieurs en sécurité de Microsoft estiment que Platinum sévirait depuis 2009 uniquement dans une région géographique bien précise.

    Nom : 2.png
Affichages : 6361
Taille : 54,7 Ko

    Platinum est considéré par Microsoft comme l’un des groupes de hackers les plus sophistiqués qui soient. L’année dernière, il était déjà impliqué dans une cyberattaque impliquant un malware qui utilise les processus de « hotpatching » (mise à jour à chaud) de Microsoft pour infecter des machines. Le hotpatching permet d’effectuer des mises à jour de programmes ou du système d’exploitation sans avoir besoin de redémarrer le système ou l’application, et ce, même si les processus impliqués sont en cours d’exécution.

    Les recherches avaient déjà montré qu’il était possible d’installer des malwares avec cette méthode, c’est pourquoi chez Microsoft, ils n’étaient pas très surpris de découvrir ce cas de piratage. Cependant, se servir de l’AMT SOL d’Intel pour pirater des ordinateurs, c’est quelque chose qu’ils n’avaient jamais observé auparavant. Et les hackers de Platinum sont les premiers à l’avoir fait.

    Le fait d’utiliser une technique de piratage difficilement détectable et peu connue permet aux pirates de garder l’anonymat et de maintenir leur mode opératoire fonctionnel le plus longtemps possible.

    Microsoft pense que les membres de ce groupe sont extrêmement bien entraînés et financés et forment une unité de cyberintelligence au sein d’une sorte d’État-nation, mais tient aussi à rassurer ses utilisateurs. Ses ingénieurs ont procédé aux opérations nécessaires pour permettre à leur utilitaire de sécurité Windows Defender de prévenir l’accès à l’interface AMT SOL d’une cyberattaque similaire.

    Source : Microsoft Report, BleepingComputer

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    Une faille critique dans les technologies Intel AMT, ISM et SBT permet de contrôler les ordinateurs à distance, un correctif est disponible
    Les processeurs Intel x86 souffrent d'un défaut qui permet d'installer des logiciels malveillants dans l'espace protégé des puces
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    782
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 782
    Points : 1 692
    Points
    1 692

    Par défaut

    c'est fou de vois qu'il y a des systèmes d’administration a distance mème dans les cpu...

  3. #3
    Membre à l'essai
    Homme Profil pro
    Stagiaire
    Inscrit en
    février 2017
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Stagiaire
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2017
    Messages : 3
    Points : 10
    Points
    10

    Par défaut

    On avait pas trouvé des backdoors déja incluses dans des processeurs x86 intels

    http://www.ginjfo.com/actualites/pol...hable-20160617

  4. #4
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2016
    Messages
    111
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : février 2016
    Messages : 111
    Points : 228
    Points
    228

    Par défaut

    c'est pas clair. L'interface sql sol est accessible comment ? sans mot de passe ? Ils ont l'air de dire que c'est un détournement de technologie légitime, j'ai tendance à en comprendre qu'ils avaient très bien perçu le risque à l'époque du développement.

    Quoi qu'il en soit l'utilisation de ce tuyau n'est pas claire vu d'ici.

    Autrement, si vous vous posiez la question

    > The good news is that Intel AMT SOL comes disabled by default on all Intel CPUs, meaning the PC owner or the local systems administrator has to enable this feature by hand.

  5. #5
    Membre éclairé
    Homme Profil pro
    alternant base de donnée
    Inscrit en
    novembre 2015
    Messages
    189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : alternant base de donnée
    Secteur : Industrie

    Informations forums :
    Inscription : novembre 2015
    Messages : 189
    Points : 674
    Points
    674

    Par défaut

    Citation Envoyé par mh-cbon Voir le message
    c'est pas clair. L'interface sql est accessible comment ? sans mot de passe ? Ils ont l'air de dire que c'est un détournement de technologie légitime, j'ai tendance à en comprendre qu'ils avaient très bien perçu le risque à l'époque du développement.

    Quoi qu'il en soit l'utilisation de ce tuyau n'est pas claire vu d'ici.

    Autrement, si vous vous posiez la question

    > The good news is that Intel AMT SOL comes disabled by default on all Intel CPUs, meaning the PC owner or the local systems administrator has to enable this feature by hand.
    Pas sql mais SOL .....
    Pour ne pas passer pour un boulet :
    http://coursz.com/difference-entre-r...-et-gddr4.html

  6. #6
    Membre averti Avatar de a028762
    Homme Profil pro
    Retraité
    Inscrit en
    décembre 2003
    Messages
    390
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : décembre 2003
    Messages : 390
    Points : 432
    Points
    432

    Par défaut

    Encore un périmètre de fonctions que je ne connaissais pas ... et qui peut être utilisé par des pirates.
    Ce n'est plus une BACK Door, mais une BELOW Door ...

  7. #7
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 201
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 201
    Points : 5 928
    Points
    5 928

    Par défaut

    Citation Envoyé par a028762 Voir le message
    Encore un périmètre de fonctions que je ne connaissais pas ... et qui peut être utilisé par des pirates.
    Ce n'est plus une BACK Door, mais une BELOW Door ...
    du coup, pendant près de dix ans que personne était au courant de la backdoor, c'était une 0-door...


    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  8. #8
    Membre habitué
    Profil pro
    Inscrit en
    août 2007
    Messages
    99
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2007
    Messages : 99
    Points : 171
    Points
    171

    Par défaut Et Linux là dedans?

    Si c'est au niveau de l'architecture des processeurs Intel, cette fonctionnalité devrait aussi être exploitable de la même manière sous Linux.
    Mais sans plus d'explications difficile de savoir.
    Je me souvient fin des années 90 d'une "feature" équivalente chez Sun donnant la possibilité de pénétrer des réseaux / systèmes Sun sans laisser de traces ni au niveau des routeurs Cisco ni des machines Sun (/SunOS).
    Les ingénieurs systèmes avaient été informés de cette possibilité sans vouloir le croire et c'est un de leurs collègues travaillant au Brésil qui leur avait déposé quelques fichiers sous le répertoire /root pour leur démontrer qu'ils n'étaient pas en sécurité.
    Aucune traces dans les logs: bluffant
    "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux."
    Benjamin Franklin

Discussions similaires

  1. Réponses: 2
    Dernier message: 15/05/2017, 09h50
  2. Réponses: 8
    Dernier message: 26/01/2015, 09h42
  3. Réponses: 4
    Dernier message: 19/05/2010, 19h03
  4. utiliser une fonction VOID pour des blocs relationnels ?
    Par ctobini dans le forum PostgreSQL
    Réponses: 3
    Dernier message: 11/09/2006, 16h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo