buchachon - Fotolia
Désactiver IME, c’est possible, mais pas supporté
Des chercheurs ont découvert un « kill switch » caché dans l’un des logiciels d’Intel, accompagné de références à un programme de la NSA centré sur la sécurité informatique.
C’est en étudiant les mécanismes d’administration de systèmes d’Intel (Intel Management Engine, IME) que des es chercheurs ont découvert un kill switch caché dans le code, ainsi que des références à un programme de l’agence américaine du renseignement, la NSA.
Cet interrupteur, découvert par Dmitry Sklyarov, Mark Ermolov et Maxim Goryachy, chercheurs en sécurité chez Positive Technologies, peut permettre de désactiver le controversé IME.
Les experts se méfient d’IME car il s'agit d'un sous-système intégré à chaque puce, et qui fonctionne essentiellement comme un processeur séparé, disposant d’un accès en profondeur aux processus système. Il pourrait être actif même lorsque le système est en veille prolongée ou éteint. Lamar Bailey, directeur de la recherche et du développement en sécurité chez Tripwire résume : IME est « une interface de gestion à distance hors bande », ce qui n'est pas rare dans le matériel.
Mais voilà, il y a problème « lorsqu'il existe des vulnérabilités dans ces interfaces ou que les mécanismes d’authentification sont trop faibles. L'interface de gestion à distance permet de prendre la main sur un système, voire de le modifier. Ainsi, pour beaucoup, ces interfaces sont considérées comme des risques de sécurité, et ils sont souvent la cible de chercheurs et les pirates informatiques », souligne Bailey. Et d’ajouter que « de nombreuses organisations, commerciales et publiques, désactivent ces fonctionnalités en raison de problèmes de sécurité ».
Trouver l'interrupteur pour IME
Jusqu’ici, IME semblait impossible à désactiver parce que, comme l'ont noté les chercheurs de Positive Technologies dans leur analyse, « les modules exécutables sont compressés par des codes Huffman avec des tables inconnues ». Mais les chercheurs ont trouvé un moyen de contourner cela.
En inspectant le code d’IME, les chercheurs ont trouvé un champ intitulé « HAP (High Assurance Platform) enable », qui est une référence à "un programme pluriannuel de la NSA dont l’objectif est de définir un cadre pour le développement de la prochaine génération de plateformes informatiques sécurisées », selon le Trusted Computing Group.
Pour les chercheurs, il s’agit essentiellement d’un interrupteur pour désactiver IME. Car une fois que cette fonctionnalité est activée, « des vérifications rapides ont montré qu’IME ne répond plus aux commandes ni aux demandes du système d'exploitation ». Et parce que la fonctionnalité HAP désactive IME à un stade précoce du démarrage du système, il ne provoque pas son plantage. Cependant, les chercheurs n'ont pas trouvé de moyen de désactiver le kill switch d’IME.
Intel n'a pas répondu aux demandes de commentaires. Mais un porte-parole du fondeur a confirmé que cet interrupteur avait été introduit à la demande du gouvernement américain, dans le cadre du programme HAP. Tout en soulignant que les modifications correspondantes avaient fait l’objet d’un « cycle de validation limité et ne constituent pas une configuration supportée ».
Pour approfondir sur Protection du terminal et EDR
-
![]()
L’attaque « GoFetch » menace les puces Apple de la série M
Par: Rob Wright
-
![]()
Conti s’intéressait aux sous-systèmes d’administration des hôtes Intel
Par: Shaun Nichols
-
![]()
Follina : une grave vulnérabilité exploitée activement
Par: Valéry Rieß-Marchive
-
![]()
Pourquoi il faut prendre au sérieux PrintNightmare
Par: Alex Scroxton
