+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 161
    Points : 72 120
    Points
    72 120

    Par défaut System76 va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux

    System76 va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux,
    après la découverte de vulnérabilités

    Le mois dernier, Intel a publié un avis de sécurité avertissant les fabricants et les utilisateurs de son Management Engine d'un certain nombre de vulnérabilités et de bogues détectés au niveau du firmware, également présents dans ses services de plateforme serveur et Trusted Execution Engine.

    Les chercheurs en sécurité ont averti qu’une attaque via ces vulnérabilités peut permettre aux cybercriminels de provoquer une instabilité avec des plantages du système, notant qu'ils ont également trouvé un moyen « d’usurper l'identité » du moteur et, par la même occasion, de tuer les mécanismes de sécurité existants.

    Plutôt que de corriger les bogues, System76 a annoncé qu'il allait déployer une mise à jour de son firmware dans laquelle Intel Management Engine sera supprimée. Techniquement, ce n'est pas ce qu’Intel souhaite que vous fassiez : non seulement le fabricant de puces ne vous dit pas ce qu'il y a dans le code, mais en plus il ne fournit pas « d'interrupteur ».

    Pourtant, des chercheurs indépendants ont récemment découvert un moyen de désactiver le moteur de gestion Intel, et System76 compte bien en profiter :

    « Le code propriétaire rend toujours la vie plus difficile et le firmware Management Engine (ME) d'Intel est un morceau particulièrement complexe de logiciels secrets. Suite à des problèmes identifiés par des chercheurs en sécurité externes, Intel a lancé un audit de son firmware ME et découvert plusieurs vulnérabilités critiques [...] Tout ceci a conduit System76 à concevoir ce plan visant à répondre à l'annonce de la vulnérabilité d'Intel du 20 novembre et à notre capacité à répondre aux futurs besoins de mise à jour du firmware :

    • System76 fournira automatiquement le firmware mis à jour avec un ME désactivé sur les ordinateurs portables Intel 6e, 7e et 8e génération. Le ME ne fournit aucune fonctionnalité aux clients de l'ordinateur portable System76 et peut être désactivé en toute sécurité ;
    • le déploiement aura lieu au fil du temps et les clients seront informés par e-mail avant la livraison ;
    • votre ordinateur doit tourner sur Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop! _OS 17.10, ou un dérivé Ubuntu et avoir le pilote System76 installé pour recevoir le dernier firmware et ME désactivé sur les ordinateurs portables ;
    • System76 étudiera la création d'un outil d'installation de firmware de ligne de commande distro-agnostique ;
    • System76 ne désactivera pas le ME sur les ordinateurs de bureau, mais fournira le firmware ME mis à jour ;
    • les clients Desktop recevront des instructions pour la mise à jour du ME par e-mail dès qu'elle est disponible. »

    Comme le flogger Linux l’a expliqué, « Il y a un nombre important de tests et de validations nécessaires avant de fournir le firmware mis à jour et ME désactivé. La désactivation du ME réduira les vulnérabilités futures et l'utilisation de notre nouvelle infrastructure de distribution de firmwares permettra aux futures mises à jour de se dérouler extrêmement rapidement et avec un pourcentage d'adoption plus élevé. »

    Mais si les plans de System76 impliquent de se servir de la recherche qui a permis de trouver un moyen d’arrêter le ME d’Intel, le flogger est bien conscient qu’Intel pourrait modifier son code source pour que cela ne soit plus d’actualité : « Il est important de noter qu’alors que nous pouvons actuellement désactiver le ME sur les ordinateurs portables, Intel peut changer le fonctionnement du périphérique dans le futur. Nous implorons Intel de conserver la possibilité pour les fabricants d'appareils et les consommateurs de désactiver le ME. »

    Une annonce qui arrive après que Purism, un autre flogger de matériel Linux, a également annoncé son intention de désactiver le firmware défectueux. La gamme de portables Librem de la société, qui exécute Coreboot, un firmware open source flexible, fonctionne désormais avec le service de gestion d'Intel complètement désactivé.

    Zlatan Todoric, directeur technique de Purism, avait alors déclaré : « Les ordinateurs portables Purism Librem étaient déjà les ordinateurs Intel les plus sécurisés disponibles sur le marché aujourd'hui, mais la désactivation du moteur de gestion renforce clairement cette déclaration. »

    Source : billet System76

    Et vous ?

    Que pensez-vous de cette décision ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti Avatar de a028762
    Homme Profil pro
    Retraité
    Inscrit en
    décembre 2003
    Messages
    394
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : décembre 2003
    Messages : 394
    Points : 445
    Points
    445

    Par défaut

    Déjà l'existance même du ME d'Intel sous l'OS ... Ca dépasse mon cadre habituel ce genre de souci de sécurité.
    Content qu'il y ait des concepteurs de système Unix qui s'occupent de celà, même si cela semble fragile.

  3. #3
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 571
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 571
    Points : 8 442
    Points
    8 442

    Par défaut

    Pour moi c'est juste ahurissant que Intel n'ai pas fait le ME désactivable, et désactivé par défaut, ça ouvre un potentiel de faille de sécurité énorme pour une fonctionnalité dont la très grande majorité des utilisateurs n'a absolument pas besoin.

  4. #4
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 315
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 315
    Points : 6 202
    Points
    6 202

    Par défaut

    après System76, puis Purism, et maintenant Dell

    y'a encore quelques années on appelait ça "de la publicité" ou "de la récupération marketing", aujourd'hui apparemment on appelle ça "des actus", "de l'information", ça passe crème personne ne trouve rien à redire, c'est beau...


    source : liliputing via Slashdot
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  5. #5
    Modérateur
    Avatar de N_BaH
    Profil pro
    Inscrit en
    février 2008
    Messages
    4 850
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2008
    Messages : 4 850
    Points : 12 540
    Points
    12 540

    Par défaut

    qui est System76 ?
    il en a déjà été question sur Developpez.com ? alors, il faut faire un renvoi vers les articles, sinon il faut la présenter.
    .
    N'oubliez pas de consulter la FAQ et les cours shell

  6. #6
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 571
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 571
    Points : 8 442
    Points
    8 442

    Par défaut

    C'est un fabricant de PC. Comme Dell, HP ou Lenovo sauf qu'il est de taille bien plus modeste.

  7. #7
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 315
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 315
    Points : 6 202
    Points
    6 202

    Par défaut

    Citation Envoyé par N_BaH Voir le message
    qui est System76 ?
    il en a déjà été question sur Developpez.com ?
    c'est le 1er mot du titre de la news en fait
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  8. #8
    Membre chevronné
    Avatar de SurferIX
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 872
    Points : 1 992
    Points
    1 992

    Par défaut

    Sur la forme, ok : couper Intel, ok. Mais sur le fond. Sur les réels fautifs. Allons voir chez Intel.
    Ce qui m'intéresserait vraiment (mais je ne pense pas qu'on le sache un jour), c'est de savoir quels sont les développeurs fautifs, où ils se trouvent (sont-ils tranquillement installés derrière leurs deux écrans 4k à boire du café, ou sont-ils ceux qu'on ne paie pas cher et qui doivent suivre 2 heures de yoga le matin pour supporter la pression et les insultes pour développer vite toute la journée), et si ce sont eux-même qui ont compris leurs fautes, et fait les corrections (parce que si ce ne sont pas eux qui ont fait les corrections, ils vont continuer à répandre leur mauvais code partout).
    "Ceci dit" n'est pas correct. Cf Wikipedia. Cela dit est du français correct.
    Je suis parfois... ⇛ ☆★ En direct ★☆

  9. #9
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 215
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 215
    Points : 4 538
    Points
    4 538

    Par défaut

    Je comprends pas très bien...

    Intel ME est un "truc" qui s'exécute avant le démarrage de l'OS (il est apparement actif même l'ordinateur éteint, il suffit qu'il soit alimenté (batterie ou secteur) et connecté à internet pour qu'on puisse l'activer).

    Du coup, en quoi le fait de faire un patch sur Ubuntu peut le désactiver ?

    Si on suppose que ça marche, ayant Mint (donc un fork d'Ubuntu) mais sur un portable d'un autre constructeur (Clevo), m'est-il possible de bénéficier de leur patch ou est-ce réservé aux portables de System76 ?

    Personnellement c'est le genre de "détails" qui m'intéressent : comprendre comment ça marche et quelles sont les limitations.

  10. #10
    Modérateur
    Avatar de N_BaH
    Profil pro
    Inscrit en
    février 2008
    Messages
    4 850
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2008
    Messages : 4 850
    Points : 12 540
    Points
    12 540

    Par défaut

    Du coup, en quoi le fait de faire un patch sur Ubuntu peut le désactiver ?
    à l'instar d'un wol, si on peut laisser un périphérique "allumé" lors de l'extinction, il doit être possible d'en "éteindre" un.
    ?
    .
    N'oubliez pas de consulter la FAQ et les cours shell

  11. #11
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 571
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 571
    Points : 8 442
    Points
    8 442

    Par défaut

    Citation Envoyé par Loceka Voir le message
    Si on suppose que ça marche, ayant Mint (donc un fork d'Ubuntu) mais sur un portable d'un autre constructeur (Clevo), m'est-il possible de bénéficier de leur patch ou est-ce réservé aux portables de System76 ?
    Non, ça ne marchera pas avec les machines d'autre constructeurs.

    Le code qui empêche le ME de fonctionner n'est pas dans Ubuntu mais dans le firmware de l'appareil, stocké une mémoire flash sur carte mère. Le firmware contient du code spécifique a ton appareil pour gérer ton matériel. Si tu pouvais installer le firmware d'un autre appareil sur le tien, ça le rendrait probablement inutilisable, mais il y a normalement des protections pour l'empêcher.

    Ubuntu n'est nécessaire que pour faire fonctionner le logiciel qui fait la mise à jour du firmware dans la mémoire flash de la carte mère.

  12. #12
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 215
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 215
    Points : 4 538
    Points
    4 538

    Par défaut

    Citation Envoyé par Uther Voir le message
    Le code qui empêche le ME de fonctionner n'est pas dans Ubuntu mais dans le firmware de l'appareil, stocké une mémoire flash sur carte mère. Le firmware contient du code spécifique a ton appareil pour gérer ton matériel. Si tu pouvais installer le firmware d'un autre appareil sur le tien, ça le rendrait probablement inutilisable, mais il y a normalement des protections pour l'empêcher.
    C'est bien ce qu'il me semblait mais je préférais être sûr... Dommage

    Pour avoir eu à flasher le bios (mettre à jour le firmware est similaire je suppose ?), il fallait booter sur une clef USB contenant le patch et l'appliquer, nul besoin de passer par un quelconque OS (et dans mon cas c'était bienvenu parce que je ne pouvais pas en installer ni même utiliser de live CD tant que je n'avais pas appliqué le patch).
    C'est ce qui me semble un peu étonnant dans leur marche à suivre.

  13. #13
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 571
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 571
    Points : 8 442
    Points
    8 442

    Par défaut

    Le BIOS est le format historique des firmwares sur PC. De nos jours les machines utilisent des firmwares au format UEFI, mais au final le principe est le même.

    Pour la procédure de mise à jour, elle peut varier en fonction des machines, mais l'UEFI permet de faire une mise à jour sans redémarrer avec un disque dédié. Je ne sais pas exactement comment ça marche pour System76.

  14. #14
    Expert confirmé Avatar de Watilin
    Homme Profil pro
    En recherche d'emploi
    Inscrit en
    juin 2010
    Messages
    2 219
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : En recherche d'emploi

    Informations forums :
    Inscription : juin 2010
    Messages : 2 219
    Points : 4 328
    Points
    4 328

    Par défaut

    Quelqu’un peut-il expliquer ce que signifie “flogger” ? Parce que quand je fais une recherche, je tombe sur des sites de BDSM, donc bon.

    Il me semble qu’on ne devrait pas encourager l’usage des anglicismes sur la plateforme francophone qu’est Développez point com.
    La FAQ JavaScript – Les cours JavaScript
    Access42, ressources francophones sur l’accessibilité
    La touche F12 : l’outil indispensable à tout développeur JavaScript !

  15. #15
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 571
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 571
    Points : 8 442
    Points
    8 442

    Par défaut

    Je suppose que c'est un faute de frappe et qu'il voulait parleur d'un blogueur.

  16. #16
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 215
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 215
    Points : 4 538
    Points
    4 538

    Par défaut

    Citation Envoyé par Uther Voir le message
    Je suppose que c'est un faute de frappe et qu'il voulait parleur d'un blogueur.
    Oui, il devait penser à son week-end à venir

Discussions similaires

  1. Réponses: 3
    Dernier message: 19/12/2012, 16h09
  2. Réponses: 2
    Dernier message: 22/01/2009, 13h43
  3. configuration data manager engine/designer
    Par lammiia dans le forum Cognos
    Réponses: 0
    Dernier message: 06/05/2008, 19h29
  4. désactiver security manager dans tomcat
    Par pigeon11 dans le forum Tomcat
    Réponses: 2
    Dernier message: 20/09/2007, 01h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo