Encore une faille dans l'Intel Management Engine, Réactions à la publication du 22/11/2017

[Lionel]

Pour la troisième fois cette année (voir ici et là) l'Intel Management Unit est victime de failles de sécurité.
Ce module ou système est intégré à nombre de machines utilisant les processeurs de la société et permet une administration à distance. Il est actif dès lors que la machine est alimentée et n'est pas accessible à l'utilisateur. Toute faille le touchant a donc potentiellement des conséquences dramatiques puisqu'il peut permettre d'accéder à tout ce qui se passe sur l'ordinateur et au contenu de ses volumes sans que l'on puisse détecter l'intrusion.

La nouvelle faille permet un accès complet au système à l'aide d'une simple clé USB et donc en accès local.
Intel la corrigera prochainement, ce qui impliquera de créer un nouveau firmware pour ce module TPM indépendant et que les assembleurs de produits les utilisant en proposent une version pour leurs cartes mères.

Sur le papier ces modules TPM avaient leur intérêt. En revanche, les failles sont potentiellement dramatiques car elles compromettent de manière totalement silencieuse leur sécurité tandis que les combler est très complexe.
Notez que certains ont des craintes similaires sur le système TPM qu'Apple commence à installer partout, c'est son enclave sécurisée qui a été au départ utilisée pour le Touch ID et le Face ID et qui devrait aussi débarquer dans les iMac.
Ajouter une couche de sécurité est toujours bien, mais quand elle est obscure et totalement inaccessible au commun des mortels elle présente un risque non négligeable car on sait tous maintenant qu'il n'existe pas de code parfait, sans faille. Il n'y a que des systèmes plus ou moins bien sécurisés. Ensuite, ce n'est qu'une question de temps.

[MàJ] Intel a posté des outils sous Linux et Windows pour savoir si les machines des utilisateurs sont concernées par cette faille qui commence à inquiéter énormément de monde, étant donné qu'il serait possible sous certaines conditions de commanditer l'attaque à distance sur les plateformes Skylake, Kaby Lake et Kaby Lake R.

[MàJ2] Intel propose des mises à jour de correction firmware:
https://www.intel.com/content/www/us/en/sup...9/software.html


Lien vers le billet original

[downanotch]

Notez que certains ont des craintes similaires sur le système TMP qu'Apple commence à installer partout, c'est son enclave sécurisée qui a été au départ utilisée pour le Touch ID et le Face ID et qui devrait aussi débarquer dans les iMac.

Je ne pense pas que ce soit comparable, l'Intel ME est un outil de gestion accessible de l'extérieur et qui peut contrôler l'ensemble du système, ça n'est pas un système de sécurité. Le Secure Enclave de son côté ne peut communiquer avec le CPU que via un système de boîte à lettres et n'a donc aucune prise sur le reste de l'appareil, le but étant justement d'isoler les éléments sensibles (par exemple le capteur biométrique) du reste du système. Dit autrement, sans le Secure Enclave un iPhone serait plus facile à attaquer, alors que sans l'Intel ME, un PC serait au contraire plus difficile à attaquer.

Ce message a été modifié par downanotch - 22 Nov 2017, 08:27.

[Lionel]

Notez que certains ont des craintes similaires sur le système TMP qu'Apple commence à installer partout, c'est son enclave sécurisée qui a été au départ utilisée pour le Touch ID et le Face ID et qui devrait aussi débarquer dans les iMac.

Je ne pense pas que ce soit comparable, l'Intel ME est un outil de gestion accessible de l'extérieur et qui peut contrôler l'ensemble du système, ça n'est pas un système de sécurité. Le Secure Enclave de son côté ne peut communiquer avec le CPU que via un système de boîte à lettres et n'a donc aucune prise sur le reste de l'appareil, le but étant justement d'isoler les éléments sensibles (par exemple le capteur biométrique) du reste du système. Dit autrement, sans le Secure Enclave un iPhone serait plus facile à attaquer, alors que sans l'Intel ME, un PC serait au contraire plus difficile à attaquer.

C'est vrai, mais il n'en demeure pas moins qu'un système totalement autonome et sans accès pour ceux qui l'utilisent au quotidien reste potentiellement un problème. Je rappelle que la notion de patriotisme américaine n'a rien à voir avec ce que l'on connait en France ou en Europe.
Un ingénieur sera beaucoup plus enclin à ajouter quelques lignes pour servir son pays via la NSA qu'on ne le ferait ailleurs.
Dans ce cas, on en saura rien jusqu'au moment où.

[Krazubu]

J'ai l'impression qu'il y a une confusion entre le Intel Management Engine et le TPM.
Ce sont 2 choses différentes, le intel ME est un module du firmware EFI des plateformes intel.
La présence d'un TPM ne conditionne aucunement la présence du ME, et inversement, les 1ers TPM fonctionnaient sur BIOS, sans ME.
Tous les macs intel l'ont donc depuis toujours.

Ce message a été modifié par Krazubu - 22 Nov 2017, 10:42.

[zero]

Ajouter une couche de sécurité est toujours bien, mais quand elle est obscure et totalement inaccessible au commun des mortels elle présente un risque non négligeable car on sait tous maintenant qu'il n'existe pas de code parfait sans faille. Il n'y a que des systèmes plus ou moins bien sécurisés. Ensuite, ce n'est qu'une question de temps.

Et plus le temps passe, moins Apple fait de mise à jour.

[iAPX]

...
Un ingénieur sera beaucoup plus enclin à ajouter quelques lignes pour servir son pays via la NSA qu'on ne le ferait ailleurs.
Dans ce cas, on en saura rien jusqu'au moment où.

Et la NSA a un budget officiel pour obtenir ce genre de faveurs, autour de 250 Millions par an, c'est très loin d'être négligeable comme facteur (en sus du Patriotisme mentionné).

Mais Intel, là Intel, ...

Les bugs dans l'exécution d'instructions indispensable pour la virtualisation efficace sont plus amusantes, et bien mieux conçues comme back-door

Ce message a été modifié par iAPX - 22 Nov 2017, 14:16.

[Tmps]

Amusant...

J'ai l'impression que plus les technologies sont évoluées, pour garantir un maximum la sécurité, et plus les failles sont phénoménales.

Prenons une chaîne faite de maillons. Avant, les maillons avaient tous une solidité similaire mais l'ensemble avait une résistance moyenne.
Maintenant, tous les maillons possèdent une solidité propre, qu'on imagine largement supérieure à celle des anciens maillons.
Jusqu'à ce qu'on se rende compte qu'un seul élément est d'une fragilité incroyable.
Du coup, la résistance globale d'une chaîne moderne n'est pas forcément supérieure à celle d'un ancien modèle.
Et, cerise sur le gâteau, plus la chaîne se modernise, plus elle devient difficile à être manipulée par son utilisateur.

Entre les spams, les virus, les attaques redoutables d'efficacité pour récolter des données sensibles, la surveillance et analyse en détails des faits et gestes des utilisateurs...
Franchement, qui a encore la naïveté de croire que les technologies sont avant tout au service des utilisateurs?

Ce message a été modifié par Macbox - 22 Nov 2017, 21:26.

[Pixelux]

Je viens de testé mon mac mini mi 2011 et il n'est pas touché par cette faille. Ouf !

[el fifito]

Et plus le temps passe, moins Apple fait de mise à jour.

Maj El Capitan sur mac Mini late 2009, datant du 1er novembre 2017, "qui contient les correctifs de macOS High Sierra 10.13.1 disponible dans sa version finale depuis hier. Notamment l'importante faille Wi-Fi KRACK".

[zero]

Et plus le temps passe, moins Apple fait de mise à jour.

Maj El Capitan sur mac Mini late 2009, datant du 1er novembre 2017, "qui contient les correctifs de macOS High Sierra 10.13.1 disponible dans sa version finale depuis hier. Notamment l'importante faille Wi-Fi KRACK".

Donne d'autres exemple qu'on rigole.

[Twisell]

Et plus le temps passe, moins Apple fait de mise à jour.

Maj El Capitan sur mac Mini late 2009, datant du 1er novembre 2017, "qui contient les correctifs de macOS High Sierra 10.13.1 disponible dans sa version finale depuis hier. Notamment l'importante faille Wi-Fi KRACK".

Donne d'autres exemple qu'on rigole.

L’iMac 2008 entrée de gamme de mes parents qui tourne sous Mountain Lion (péniblement certe a cause du hd 5200).
Bon je suis d’accord qu’a ce stade c’est de l’acharnement thérapeutique mais mes parents en sont toujours contents.
J’essaye juste de leur faire comprendre que s’ils veulent que « tout marche comme sur le miens » faudra peut-être envisager au bout de 9 ans de le remplacer. Mais on est loin du mythe de l’obsolescence programmée en tt cas.

[zero]

Quel rapport avec le fait qu'Apple abandonne vite les mises à jour de ses logiciels ?

[iAPX]

Il faut rappeler que ces failles à répétitions d'Intel correspondent, à une échelle bien plus grande (et avec beaucoup beaucoup plus d"efforts), à ce qu'on craignait que des fondeurs chinois fassent sur des puces fabriqué chez eux: les modifier pour favoriser l'espionnage.

Entre des bugs sur des instructions indispensables à la virtualisation, permettant de prendre le controle complet d'un serveur physique si on peut y avoir une VM, ou exécuter du cod sur n'importe laquelle (pas besoin d'être privilégié d'exécution!), pendant près d'une décennie, des failles dans leur bousin de sécurité, autorisant peu ou prou la même chose mais visant les ordinateurs individuels, des failles dans l'IME qui visent toutes les machines, c'est presque noël en plein mois d'août!

Il n'y a aucune limite aux tentations de la NSA, espionner les délégations à l'ONU ou écouter un chef d'état étranger (et allié!) n'est pas du tout blamable, et leur première mission est d'abord économique, l'Europe et les États-Unis sont engagés dans une lutte à mort, depuis une dizaine d'année, car il est déjà évident que la Chine terminera numéro 1, que l'Inde va prendre une bonne place sur le long-terme, et qu'il ne restera que des miettes derrière sauf à lapider son concurrent.

Ce message a été modifié par iAPX - 23 Nov 2017, 12:57.