(Source: 01net.com, 17.06.2016)
Ça fait franchement peur! Depuis 2008, Intel intègre dans un nombre croissant de ses processeurs (CPU) un Management Engine (ME), qui comprend le service d’administration à distance Active Management Technology. Selon cet article de la Free Software Foundation, le Management Engine et les logiciels propriétaires qui le constituent, permet à ceux qui ont la clé publique d’accéder à toutes les ressources cryptées de ce système fonctionnant comme un ordinateur dans l’ordinateur, que la machine soit allumée ou éteinte, et donnant accès à toutes les données, logiciels, frappes sur le clavier, affichage à l’écran, webcam, micro… Bref, une backdoor (porte arrière) large comme une porte de grange!Bien qu’il y ait de bonnes raisons de s’inquiéter des moyens dont semble disposer la NSA pour voir tout ce que vous faites sur votre ordinateur, les gens qui n’ont aucune accointance avec le terrorisme se disaient que ce n’était pas si grave, surtout si cela peut permettre de déjouer des actions terroristes.
Dans le cas qui nous occupe, ce n’est pas une agence publique en charge de la sécurité qui dispose d’un accès illimité, mais n’importe quelle multinationale disposant des moyens financiers exigés par Intel pour obtenir la clé publique au Management Engine, à commencer par les éditeurs de logiciels propriétaires (Microsoft, etc.) et les fabricants d’ordinateurs utilisant des composants Intel (Apple, Lenovo, Dell, HP, etc.). Ça fait froid dans le dos et nul ne sait combien Intel empoche pour cela! Mais on devine que les sommes en jeu sont astronomiques… Sans parler des hackers malfaisants qui auront réussi à casser la clé leur donnant accès à votre ordinateur, même éteint, sans laisser aucune trace, pour passer, par exemple, des ordres bancaires…
Le vrai drame est qu’il est impossible à l’utilisateur de se débarrasser de cet incroyable mouchard. C’est ainsi que les développeurs de Libreboot, une alternative au BIOS propriétaire installé sur votre ordinateur pour pouvoir démarrer, relèvent qu’il est impossible de remplacer cet espion caché au plus profond de la machine, mettant en échec le projet d’un ordinateur entièrement libre.
Certains, comme Purism, pense pourtant pouvoir libérer un ordinateur équipé d’un CPU Intel. D’autres, comme l’équipe promouvant le PowerPC Notebook, forment le projet de concevoir un ordinateur basé sur une architecture PowerPC.
Cependant, l’hégémonie des multinationales en position quasi-monopolistique, comme Microsoft ou Intel, n’ont pas fini d’imposer leur loi… Pour l’heure, le seul moyen de rester un Homme libre est de ne plus utiliser aucun ordinateur, tablette ou smartphone. Certains y parviennent…
Selon developpez.com, System76 (qui vend aux USA les mêmes portables que why!) va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux. Après la découverte de vulnérabilités.
Le mois dernier, Intel a publié un avis de sécurité avertissant les fabricants et les utilisateurs de son Management Engine d’un certain nombre de vulnérabilités et de bogues détectés au niveau du firmware, également présents dans ses services de plateforme serveur et Trusted Execution Engine.
Les chercheurs en sécurité ont averti qu’une attaque via ces vulnérabilités peut permettre aux cybercriminels de provoquer une instabilité avec des plantages du système, notant qu’ils ont également trouvé un moyen « d’usurper l’identité » du moteur et, par la même occasion, de tuer les mécanismes de sécurité existants.
Plutôt que de corriger les bogues, System76 a annoncé qu’il allait déployer une mise à jour de son firmware dans laquelle Intel Management Engine sera supprimée. Techniquement, ce n’est pas ce qu’Intel souhaite que vous fassiez : non seulement le fabricant de puces ne vous dit pas ce qu’il y a dans le code, mais en plus il ne fournit pas « d’interrupteur ».
Pourtant, des chercheurs indépendants ont récemment découvert un moyen de désactiver le moteur de gestion Intel, et System76 compte bien en profiter :
« Le code propriétaire rend toujours la vie plus difficile et le firmware Management Engine (ME) d’Intel est un morceau particulièrement complexe de logiciels secrets. Suite à des problèmes identifiés par des chercheurs en sécurité externes, Intel a lancé un audit de son firmware ME et découvert plusieurs vulnérabilités critiques […] Tout ceci a conduit System76 à concevoir ce plan visant à répondre à l’annonce de la vulnérabilité d’Intel du 20 novembre et à notre capacité à répondre aux futurs besoins de mise à jour du firmware :
System76 fournira automatiquement le firmware mis à jour avec un ME désactivé sur les ordinateurs portables Intel 6e, 7e et 8e génération. Le ME ne fournit aucune fonctionnalité aux clients de l’ordinateur portable System76 et peut être désactivé en toute sécurité ;
le déploiement aura lieu au fil du temps et les clients seront informés par e-mail avant la livraison ;
votre ordinateur doit tourner sur Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop! _OS 17.10, ou un dérivé Ubuntu et avoir le pilote System76 installé pour recevoir le dernier firmware et ME désactivé sur les ordinateurs portables ;
System76 étudiera la création d’un outil d’installation de firmware de ligne de commande distro-agnostique ;
System76 ne désactivera pas le ME sur les ordinateurs de bureau, mais fournira le firmware ME mis à jour ;
les clients Desktop recevront des instructions pour la mise à jour du ME par e-mail dès qu’elle est disponible. »
Comme le flogger Linux l’a expliqué, « Il y a un nombre important de tests et de validations nécessaires avant de fournir le firmware mis à jour et ME désactivé. La désactivation du ME réduira les vulnérabilités futures et l’utilisation de notre nouvelle infrastructure de distribution de firmwares permettra aux futures mises à jour de se dérouler extrêmement rapidement et avec un pourcentage d’adoption plus élevé. »
Mais si les plans de System76 impliquent de se servir de la recherche qui a permis de trouver un moyen d’arrêter le ME d’Intel, le flogger est bien conscient qu’Intel pourrait modifier son code source pour que cela ne soit plus d’actualité : « Il est important de noter qu’alors que nous pouvons actuellement désactiver le ME sur les ordinateurs portables, Intel peut changer le fonctionnement du périphérique dans le futur. Nous implorons Intel de conserver la possibilité pour les fabricants d’appareils et les consommateurs de désactiver le ME. »
Une annonce qui arrive après que Purism, un autre flogger de matériel Linux, a également annoncé son intention de désactiver le firmware défectueux. La gamme de portables Librem de la société, qui exécute Coreboot, un firmware open source flexible, fonctionne désormais avec le service de gestion d’Intel complètement désactivé.
Zlatan Todoric, directeur technique de Purism, avait alors déclaré : « Les ordinateurs portables Purism Librem étaient déjà les ordinateurs Intel les plus sécurisés disponibles sur le marché aujourd’hui, mais la désactivation du moteur de gestion renforce clairement cette déclaration. »
Source : billet System76