System76 va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux,
après la découverte de vulnérabilités
Le mois dernier, Intel a publié un avis de sécurité avertissant les fabricants et les utilisateurs de son Management Engine d'un certain nombre de vulnérabilités et de bogues détectés au niveau du firmware, également présents dans ses services de plateforme serveur et Trusted Execution Engine.
Les chercheurs en sécurité ont averti qu’une attaque via ces vulnérabilités peut permettre aux cybercriminels de provoquer une instabilité avec des plantages du système, notant qu'ils ont également trouvé un moyen « d’usurper l'identité » du moteur et, par la même occasion, de tuer les mécanismes de sécurité existants.
Plutôt que de corriger les bogues, System76 a annoncé qu'il allait déployer une mise à jour de son firmware dans laquelle Intel Management Engine sera supprimée. Techniquement, ce n'est pas ce qu’Intel souhaite que vous fassiez : non seulement le fabricant de puces ne vous dit pas ce qu'il y a dans le code, mais en plus il ne fournit pas « d'interrupteur ».
Pourtant, des chercheurs indépendants ont récemment découvert un moyen de désactiver le moteur de gestion Intel, et System76 compte bien en profiter :
« Le code propriétaire rend toujours la vie plus difficile et le firmware Management Engine (ME) d'Intel est un morceau particulièrement complexe de logiciels secrets. Suite à des problèmes identifiés par des chercheurs en sécurité externes, Intel a lancé un audit de son firmware ME et découvert plusieurs vulnérabilités critiques [...] Tout ceci a conduit System76 à concevoir ce plan visant à répondre à l'annonce de la vulnérabilité d'Intel du 20 novembre et à notre capacité à répondre aux futurs besoins de mise à jour du firmware :
- System76 fournira automatiquement le firmware mis à jour avec un ME désactivé sur les ordinateurs portables Intel 6e, 7e et 8e génération. Le ME ne fournit aucune fonctionnalité aux clients de l'ordinateur portable System76 et peut être désactivé en toute sécurité ;
- le déploiement aura lieu au fil du temps et les clients seront informés par e-mail avant la livraison ;
- votre ordinateur doit tourner sur Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop! _OS 17.10, ou un dérivé Ubuntu et avoir le pilote System76 installé pour recevoir le dernier firmware et ME désactivé sur les ordinateurs portables ;
- System76 étudiera la création d'un outil d'installation de firmware de ligne de commande distro-agnostique ;
- System76 ne désactivera pas le ME sur les ordinateurs de bureau, mais fournira le firmware ME mis à jour ;
- les clients Desktop recevront des instructions pour la mise à jour du ME par e-mail dès qu'elle est disponible. »
Comme le flogger Linux l’a expliqué, « Il y a un nombre important de tests et de validations nécessaires avant de fournir le firmware mis à jour et ME désactivé. La désactivation du ME réduira les vulnérabilités futures et l'utilisation de notre nouvelle infrastructure de distribution de firmwares permettra aux futures mises à jour de se dérouler extrêmement rapidement et avec un pourcentage d'adoption plus élevé. »
Mais si les plans de System76 impliquent de se servir de la recherche qui a permis de trouver un moyen d’arrêter le ME d’Intel, le flogger est bien conscient qu’Intel pourrait modifier son code source pour que cela ne soit plus d’actualité : « Il est important de noter qu’alors que nous pouvons actuellement désactiver le ME sur les ordinateurs portables, Intel peut changer le fonctionnement du périphérique dans le futur. Nous implorons Intel de conserver la possibilité pour les fabricants d'appareils et les consommateurs de désactiver le ME. »
Une annonce qui arrive après que Purism, un autre flogger de matériel Linux, a également annoncé son intention de désactiver le firmware défectueux. La gamme de portables Librem de la société, qui exécute Coreboot, un firmware open source flexible, fonctionne désormais avec le service de gestion d'Intel complètement désactivé.
Zlatan Todoric, directeur technique de Purism, avait alors déclaré : « Les ordinateurs portables Purism Librem étaient déjà les ordinateurs Intel les plus sécurisés disponibles sur le marché aujourd'hui, mais la désactivation du moteur de gestion renforce clairement cette déclaration. »
Source : billet System76
Et vous ?
Que pensez-vous de cette décision ?
Partager