System76 va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux

**Stéphane le calme** · 01/12/2017, 23h23

System76 va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux,
après la découverte de vulnérabilités

Le mois dernier, Intel a publié un avis de sécurité avertissant les fabricants et les utilisateurs de son Management Engine d'un certain nombre de vulnérabilités et de bogues détectés au niveau du firmware, également présents dans ses services de plateforme serveur et Trusted Execution Engine.

Les chercheurs en sécurité ont averti qu’une attaque via ces vulnérabilités peut permettre aux cybercriminels de provoquer une instabilité avec des plantages du système, notant qu'ils ont également trouvé un moyen « d’usurper l'identité » du moteur et, par la même occasion, de tuer les mécanismes de sécurité existants.

Plutôt que de corriger les bogues, System76 a annoncé qu'il allait déployer une mise à jour de son firmware dans laquelle Intel Management Engine sera supprimée. Techniquement, ce n'est pas ce qu’Intel souhaite que vous fassiez : non seulement le fabricant de puces ne vous dit pas ce qu'il y a dans le code, mais en plus il ne fournit pas « d'interrupteur ».

Pourtant, des chercheurs indépendants ont récemment découvert un moyen de désactiver le moteur de gestion Intel, et System76 compte bien en profiter :

« Le code propriétaire rend toujours la vie plus difficile et le firmware Management Engine (ME) d'Intel est un morceau particulièrement complexe de logiciels secrets. Suite à des problèmes identifiés par des chercheurs en sécurité externes, Intel a lancé un audit de son firmware ME et découvert plusieurs vulnérabilités critiques [...] Tout ceci a conduit System76 à concevoir ce plan visant à répondre à l'annonce de la vulnérabilité d'Intel du 20 novembre et à notre capacité à répondre aux futurs besoins de mise à jour du firmware :

System76 fournira automatiquement le firmware mis à jour avec un ME désactivé sur les ordinateurs portables Intel 6^e, 7^e et 8^e génération. Le ME ne fournit aucune fonctionnalité aux clients de l'ordinateur portable System76 et peut être désactivé en toute sécurité ;
le déploiement aura lieu au fil du temps et les clients seront informés par e-mail avant la livraison ;
votre ordinateur doit tourner sur Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop! _OS 17.10, ou un dérivé Ubuntu et avoir le pilote System76 installé pour recevoir le dernier firmware et ME désactivé sur les ordinateurs portables ;
System76 étudiera la création d'un outil d'installation de firmware de ligne de commande distro-agnostique ;
System76 ne désactivera pas le ME sur les ordinateurs de bureau, mais fournira le firmware ME mis à jour ;
les clients Desktop recevront des instructions pour la mise à jour du ME par e-mail dès qu'elle est disponible. »

Comme le flogger Linux l’a expliqué, « Il y a un nombre important de tests et de validations nécessaires avant de fournir le firmware mis à jour et ME désactivé. La désactivation du ME réduira les vulnérabilités futures et l'utilisation de notre nouvelle infrastructure de distribution de firmwares permettra aux futures mises à jour de se dérouler extrêmement rapidement et avec un pourcentage d'adoption plus élevé. »

Mais si les plans de System76 impliquent de se servir de la recherche qui a permis de trouver un moyen d’arrêter le ME d’Intel, le flogger est bien conscient qu’Intel pourrait modifier son code source pour que cela ne soit plus d’actualité : « Il est important de noter qu’alors que nous pouvons actuellement désactiver le ME sur les ordinateurs portables, Intel peut changer le fonctionnement du périphérique dans le futur. Nous implorons Intel de conserver la possibilité pour les fabricants d'appareils et les consommateurs de désactiver le ME. »

Une annonce qui arrive après que Purism, un autre flogger de matériel Linux, a également annoncé son intention de désactiver le firmware défectueux. La gamme de portables Librem de la société, qui exécute Coreboot, un firmware open source flexible, fonctionne désormais avec le service de gestion d'Intel complètement désactivé.

Zlatan Todoric, directeur technique de Purism, avait alors déclaré : « Les ordinateurs portables Purism Librem étaient déjà les ordinateurs Intel les plus sécurisés disponibles sur le marché aujourd'hui, mais la désactivation du moteur de gestion renforce clairement cette déclaration. »

Source : billet System76

Et vous ?

Que pensez-vous de cette décision ?

**a028762** · 02/12/2017, 10h56

Déjà l'existance même du ME d'Intel sous l'OS ... Ca dépasse mon cadre habituel ce genre de souci de sécurité.
Content qu'il y ait des concepteurs de système Unix qui s'occupent de celà, même si cela semble fragile.

**Uther** · 02/12/2017, 16h08

Pour moi c'est juste ahurissant que Intel n'ai pas fait le ME désactivable, et désactivé par défaut, ça ouvre un potentiel de faille de sécurité énorme pour une fonctionnalité dont la très grande majorité des utilisateurs n'a absolument pas besoin.

**BufferBob** · 03/12/2017, 22h58

après System76, puis Purism, et maintenant Dell

y'a encore quelques années on appelait ça "de la publicité" ou "de la récupération marketing", aujourd'hui apparemment on appelle ça "des actus", "de l'information", ça passe crème personne ne trouve rien à redire, c'est beau...

source : liliputing via Slashdot

**N_BaH** · 04/12/2017, 01h23

qui est System76 ?
il en a déjà été question sur Developpez.com ? alors, il faut faire un renvoi vers les articles, sinon il faut la présenter.

**Uther** · 04/12/2017, 07h42

C'est un fabricant de PC. Comme Dell, HP ou Lenovo sauf qu'il est de taille bien plus modeste.

**BufferBob** · 04/12/2017, 07h45

Envoyé par N_BaH

qui est System76 ?
il en a déjà été question sur Developpez.com ?

c'est le 1er mot du titre de la news en fait

**SurferIX** · 08/12/2017, 09h41

Sur la forme, ok : couper Intel, ok. Mais sur le fond. Sur les réels fautifs. Allons voir chez Intel.
Ce qui m'intéresserait vraiment (mais je ne pense pas qu'on le sache un jour), c'est de savoir quels sont les développeurs fautifs, où ils se trouvent (sont-ils tranquillement installés derrière leurs deux écrans 4k à boire du café, ou sont-ils ceux qu'on ne paie pas cher et qui doivent suivre 2 heures de yoga le matin pour supporter la pression et les insultes pour développer vite toute la journée), et si ce sont eux-même qui ont compris leurs fautes, et fait les corrections (parce que si ce ne sont pas eux qui ont fait les corrections, ils vont continuer à répandre leur mauvais code partout).

**Loceka** · 08/12/2017, 09h59

Je comprends pas très bien...

Intel ME est un "truc" qui s'exécute avant le démarrage de l'OS (il est apparement actif même l'ordinateur éteint, il suffit qu'il soit alimenté (batterie ou secteur) et connecté à internet pour qu'on puisse l'activer).

Du coup, en quoi le fait de faire un patch sur Ubuntu peut le désactiver ?

Si on suppose que ça marche, ayant Mint (donc un fork d'Ubuntu) mais sur un portable d'un autre constructeur (Clevo), m'est-il possible de bénéficier de leur patch ou est-ce réservé aux portables de System76 ?

Personnellement c'est le genre de "détails" qui m'intéressent : comprendre comment ça marche et quelles sont les limitations.

**N_BaH** · 08/12/2017, 13h05

Du coup, en quoi le fait de faire un patch sur Ubuntu peut le désactiver ?

à l'instar d'un wol, si on peut laisser un périphérique "allumé" lors de l'extinction, il doit être possible d'en "éteindre" un.
?

**Uther** · 08/12/2017, 13h34

Envoyé par Loceka

Si on suppose que ça marche, ayant Mint (donc un fork d'Ubuntu) mais sur un portable d'un autre constructeur (Clevo), m'est-il possible de bénéficier de leur patch ou est-ce réservé aux portables de System76 ?

Non, ça ne marchera pas avec les machines d'autre constructeurs.

Le code qui empêche le ME de fonctionner n'est pas dans Ubuntu mais dans le firmware de l'appareil, stocké une mémoire flash sur carte mère. Le firmware contient du code spécifique a ton appareil pour gérer ton matériel. Si tu pouvais installer le firmware d'un autre appareil sur le tien, ça le rendrait probablement inutilisable, mais il y a normalement des protections pour l'empêcher.

Ubuntu n'est nécessaire que pour faire fonctionner le logiciel qui fait la mise à jour du firmware dans la mémoire flash de la carte mère.

**Loceka** · 08/12/2017, 14h14

Envoyé par Uther

Le code qui empêche le ME de fonctionner n'est pas dans Ubuntu mais dans le firmware de l'appareil, stocké une mémoire flash sur carte mère. Le firmware contient du code spécifique a ton appareil pour gérer ton matériel. Si tu pouvais installer le firmware d'un autre appareil sur le tien, ça le rendrait probablement inutilisable, mais il y a normalement des protections pour l'empêcher.

C'est bien ce qu'il me semblait mais je préférais être sûr... Dommage

Pour avoir eu à flasher le bios (mettre à jour le firmware est similaire je suppose ?), il fallait booter sur une clef USB contenant le patch et l'appliquer, nul besoin de passer par un quelconque OS (et dans mon cas c'était bienvenu parce que je ne pouvais pas en installer ni même utiliser de live CD tant que je n'avais pas appliqué le patch).
C'est ce qui me semble un peu étonnant dans leur marche à suivre.

**Uther** · 08/12/2017, 14h32

Le BIOS est le format historique des firmwares sur PC. De nos jours les machines utilisent des firmwares au format UEFI, mais au final le principe est le même.

Pour la procédure de mise à jour, elle peut varier en fonction des machines, mais l'UEFI permet de faire une mise à jour sans redémarrer avec un disque dédié. Je ne sais pas exactement comment ça marche pour System76.

**Watilin** · 09/12/2017, 11h52

Quelqu’un peut-il expliquer ce que signifie “flogger” ? Parce que quand je fais une recherche, je tombe sur des sites de BDSM, donc bon.

Il me semble qu’on ne devrait pas encourager l’usage des anglicismes sur la plateforme francophone qu’est Développez point com.