Discussion :

[Patrick Ruiz]

Moteur d’administration Intel : la firme sort de son silence
Un outil de détection des failles sous Windows et Linux est désormais disponible

Intel sort enfin de sa réserve en ce qui concerne le moteur d’administration (ME) sur les cartes mères d’ordinateurs livrés avec des processeurs sortis après 2008. Dans un bulletin de sécurité mis à jour aujourd’hui même, la firme reconnait que ce microcontrôleur (ME), la plateforme de configuration à distance des serveurs à base de processeur Intel (SPS) et le moteur d’exécution fiabilisé (TXE) exhibent des failles. À noter qu’Intel salue les publications de la firme de sécurité Positive Technologies sur lesquelles elle a basé son audit de sécurité interne.

Pour rappel, les failles sont liées au firmware contenu dans lesdits composants. Elles permettent à un administrateur système qui opère à distance ou à des processus malicieux d’exécuter du code à l’insu du système d’exploitation principal sur un ordinateur cible. Mark Emolov et Maxim Goryachy de la firme de sécurité Positive Technologies ont entre autres mis en exergue le fait que le moteur d’administration dispose d’un accès exclusif à certaines régions de la mémoire vive. Il faut de plus noter que les failles permettent l’extraction furtive d’informations sensibles, ce, à distance.

La présence de ce composant sur les cartes mères d’ordinateurs est donc la porte ouverte à l’installation de logiciels espions et autres rootkits. D’après les chercheurs de la firme de sécurité Positive Technologies, il s’agit d’une porte dérobée qui serait réservée à des agences gouvernementales américaines.

Inutile de s’étendre dans le détail sur l’environnement SPS puisque la description qu’Intel en fait permet de le percevoir comme une version de moteur d’administration dédiée à ses serveurs. Quant à ce qui est du moteur d’exécution fiabilisé (TXE), il s’agit d’un processeur cryptographique qui a entre autres pour rôle d’attester de l’authenticité d’une plateforme et de son système d’exploitation.

Après le tollé de l’Electronic Frontier Foundation basé sur les révélations de la firme de sécurité Positive Technologies, le géant du semi-conducteur s’est défendu d’entretenir des portes dérobées pour une quelconque agence gouvernementale. La publication de ce jour ne vient pas lever tout le mystère qui entoure le très peu documenté moteur d’administration. Elle a cependant le mérite de confirmer les allégations des chercheurs de Positive Technologies et donner des indications claires sur les plateformes matérielles concernées. On parle ici de cartes mères dotées de : processeurs Intel Core de la sixième à la huitième génération et d’échantillons spécifiques de processeurs Intel Xeon, Intel Atom et Celeron. Le détail dans les tableaux fournis par Intel dans son bulletin de sécurité.

À date, seul Positive Technologies avait indiqué une procédure de désactivation du moteur d’administration. Avec cette sortie, Intel ouvre enfin la voie à une solution officielle. Sont à considérer comme vulnérables : les versions 11.0 à 11.20 du firmware du moteur d’administration, la version 4.0 de la plateforme SPS et la version 3.0 de l’environnement d’exécution fiabilisé. Le constructeur a par ailleurs publié un outil de détection censé scanner une carte mère et fournir ces informations sous Windows et Linux. Les possesseurs d’ordinateurs devront ensuite se référer aux constructeurs pour l’obtention des correctifs. Bien vouloir jeter un œil au lien source Lenovo pour la mise à jour de votre ordinateur s’il est de cette marque.

Sources

bulletin de sécurité Intel

Support Lenovo

Votre avis

Les correctifs de vulnérabilités du moteur d’administration Intel et des composants dérivés seront bientôt disponibles (si ce n’est déjà le cas pour votre marque). Quel commentaire en faites-vous ?

Voir aussi

Les processeurs Intel x86 souffrent d'un défaut qui permet d'installer des logiciels malveillants dans l'espace protégé des puces

[Namica]

Intel réagit enfin, mais avec des pieds de plomb.
J'espère que Positive Technologies analysera attentivement les solution proposées.

[MikeRowSoft]

Elles permettent à un administrateur système qui opère à distance ou à des processus malicieux d’exécuter du code à l’insu du système d’exploitation principal sur un ordinateur cible.

Si le système d'exploitation après le boot ne le sais pas, c'est donc une machine de virtualisation qui reçoit un message je pense.
Comment un système d'exploitation peut ne pas savoir dans son historique l'accès CPU à l'adresse du chipset ou circuit concerné ?
Je veux bien croire qu'il y a dans le circuit un observateur qui attend simplement une séquence bien précise pour agir...

[AndMax]

Les correctifs de vulnérabilités du moteur d’administration Intel et des composants dérivés seront bientôt disponibles (si ce n’est déjà le cas pour votre marque). Quel commentaire en faites-vous ?

J'apprécie de voir que Intel sort de introversion sur ce sujet... mais je trouve cela toujours aussi inquiétant car pour le client, la situation concrète n'a pas changée... les vulnérabilités sont toujours là pour la majorité des marques, et le "correctif" "bientôt" disponible n'est pas une perspective très précise.

[singman]

@MikeRowSoft : non, tu n'as pas compris. Il s'agit d'un petit processeur complètement en dehors du CPU général, un chip à part sur la carte mère. Il exécute son code dès que la carte mère est alimentée, c'est à dire avant même que la séquence de boot soit démarrée, et reste actif même une fois l'ordinateur éteint, si l'alimentation est toujours sous tension.
Il a son propre OS (basé sur Minix) et peut s'interfacer au réseau, soit par une prise dédiée au management, soit (c'est à prouver me semble t'il) par la prise principale de la carte mère. Il permet de faire des diagnostiques très tôt, peut changer des paramètres du BIOS ou échanger des informations avec le CPU principal (état mémoire, process, etc...)

[bloginfo]

Le logiciel SA-00086 est surtout un spyware dont l'objet est surtout de géolocaliser et évaluer le parc des processeurs.

Je suis toujours effaré de voir qu'aucune analyse ne soit faite sur ce genre d'outils, y compris sur le site du CERT-FR !

[BufferBob]

Je suis toujours effaré de voir qu'aucune analyse ne soit faite sur ce genre d'outils, y compris sur le site du CERT-FR !

ben il faut la faire par toi-même, c'est long et rébarbatif certes (à mon gout en tous cas) et ça demande des compétences non-négligeables, mais ça vaut toujours mieux que de passer de "ça a l'odeur de" et "je ne comprends pas bien pourquoi" à "c'est un spyware" sans absolument aucune étude sérieuse du binaire en question

en l'espèce le billet de blog nous apprend uniquement que le programme envoie et/ou récupère des données chiffrées vers des diffuseurs de contenu (cloudflare, akamai)
qui plus est la bestiole s'inscrit justement -ça ne t'a pas échappé- dans le contexte très médiatisé du problème de sécu levé par l'Intel Management Engine, tu penses vraiment qu'Intel s'amuserait à mettre un spyware dans son outil qui sert de "on s'excuse platement" ? pour le moins ça me semblerait incroyablement culotté/risqué de leur part...

[Vincent PETIT]

Il s'agit d'un petit processeur complètement en dehors du CPU général, un chip à part sur la carte mère. Il exécute son code dès que la carte mère est alimentée, c'est à dire avant même que la séquence de boot soit démarrée, et reste actif même une fois l'ordinateur éteint, si l'alimentation est toujours sous tension.
Il a son propre OS (basé sur Minix) et peut s'interfacer au réseau, soit par une prise dédiée au management, soit (c'est à prouver me semble t'il) par la prise principale de la carte mère. Il permet de faire des diagnostiques très tôt, peut changer des paramètres du BIOS ou échanger des informations avec le CPU principal (état mémoire, process, etc...)

+1
Par contre, ce qui m'étonne c'est que ce microcontrôleur soit en dehors du CPU !? Car sur beaucoup de processeurs ARM il est dedans, il sert de coprocesseur.... soit disant

Exemple, sur la carte BeagleBone Black (cousin du Raspberry)


Dessus il y a un processeur ARM et, à l'intérieur de ce dernier, son compagnon : un PRU (Programmable Real Time Unit) qui n'est autre qu'un microcontrôleur qui a accès a toutes les ressources du processeur ARM. Même en mettant un OS Linux hyper sécurisé, le PRU ne sera jamais détecté et il fera tout ce qu'il veut sans aucun problème de droit. Ce genre de processeur ARM on en a tous dans nos téléphones portables et franchement.... si un simple constructeur comme Texas Instruments sait très bien placer ce microcontrôleur dans son processeur, j'ai un mal de chien à croire que Intel ne le fait pas !!!!!