Spectre et Meltdown
ont attiré beaucoup d’attention sur les processeurs Intel en début de
mois. Mais le fondeur ne semble pas encore tiré d’affaire : vendredi, la
société F-Secure publiait ainsi un rapport détaillant une nouvelle
vulnérabilité présente au sein des processeurs Intel et plus
particulièrement au sein des
modules AMT embarqués par certains modèles de processeurs.
Les modules AMT d’Intel ont
retenu l’attention de nombreux chercheurs en sécurité au cours des dernières années.
En effet, ces modules installés par Intel sur certains processeurs
constituent un motif d’inquiétude pour certains administrateurs. AMT est
un module utilisé pour la prise de contrôle à distance de machines
Intel. Celui-ci embarque plusieurs logiciels et outils, tels que des
fonctions de connexion au réseau, d’accès à la mémoire de la machine ou
des différents équipements branchés, et peut permettre d’accéder à la
machine en contournant les mots de passe mis en place au niveau du Bios
ou de l’OS, AMT étant accessible au démarrage de la machine.
C’est sur ce principe que se base
la vulnérabilité découverte par F-Secure
: AMT dispose d’un mot de passe par défaut, qui peut permettre à un
attaquant disposant d’un accès physique à la machine d’accéder à AMT et
de mettre en place une porte dérobée sur la machine ; il ne s’agit pas
d’une faille issue d’un bug, comme c’était le cas pour Meltdown et
Spectre, mais d’un problème de configuration du module. Comme l’explique
F-Secure, les modules AMT sont généralement laissés avec le mot de
passe par défaut « admin » qui est rarement modifié par l’utilisateur.
Intel dans le viseur des chercheurs
«
En changeant le mot de passe par défaut, en autorisant l’accès à
distance et en configurant l’accès à distance AMT pour ne pas demander
l’autorisation de l’utilisateur, un cybercriminel peut compromettre la
machine », expliquent les chercheurs de F-Secure. La technique nécessite
néanmoins d’avoir un accès physique à la machine, mais une utilisation
détournée de l’outil d’Intel peut permettre à un attaquant de mettre en
place une porte dérobée sur la machine de la cible. Du fait de son
utilisation principale, la prise de contrôle à distance à des fins
d’administration, AMT embarque toutes les fonctionnalités logicielles
nécessaires pour faire office de porte dérobée sur la machine cible. Une
fois la configuration mise en place, l’attaquant pourra profiter de cet
accès dérobé afin d’espionner l’activité de l’utilisateur sur la
machine à partir d’un ordinateur connecté sur le réseau local ou à
distance.
Difficile donc de comparer directement ce problème aux failles
Meltdown et Spectre, qui relèvent d’un comportement non désiré. Ici, AMT
fonctionne comme prévu par Intel. Le défaut provient d’un souci de
configuration et de connaissance de ce module, dont les mots de passe
par défaut ne sont pas changés par les constructeurs et administrateurs.
Intel ne s’y trompe d’ailleurs pas :
interrogés par Zdnet.com
le porte-parole d'Intel déclare « Nous remercions la communauté des
chercheurs en sécurité d’avoir remis en avant le fait que certains
constructeurs n’ont pas configuré leurs systèmes afin de protéger
correctement le module AMT. » Le constructeur en profite pour indiquer
qu’un guide de configuration est disponible pour ceux qui souhaiteraient
s’assurer que le module AMT présent sur leur machine n’est pas
accessible pour un attaquant. Meilleure méthode pour parer une
éventuelle attaque de ce type : changer le mot de passe par défaut du
module AMT. Et garder un œil sur les accès physiques aux machines
susceptibles d’être visées.
REF.:
