Version imprimable du sujet

Écrit par : Lionel 3 May 2019, 05:43

HP a commencé à communiquer sur son Endpoint Security Controler.

Il s'agit d'une puce propriétaire ajoutée sur les PC destinée à en améliorer la sécurité.
On est proche de ce que propose Apple avec ses puces T1 et T2 embarquées dans les Mac récents. HP va cependant moins loin et le stockage n'est pas dépendant de ces puces.

On notera que la société a commencé à intégrer ces puces en 2013 dans ses machines mais n'en fait réellement l'article qu'aujourd'hui.

http://macbidouille.com/news/2019/05/03/hp-integre-aussi-une-puce-proprietaire-pour-securiser-ses-pc

Écrit par : martremblay 3 May 2019, 06:44

Dès qu'applefric a une idée immonde, tout le monde s'empresse de copier :
. batteries inamovibles sur les téléphones mobiles
. connecteurs sur le côté des ordinateurs portables
. puce t2 et assimilées
. augmentation (x2) des prix des téléphones mobiles

Écrit par : fabriceunko 3 May 2019, 06:50

l'époque de la course au téléphone à 1€ est bien fini...

Écrit par : Hans1311 3 May 2019, 07:04

Ce sera sans moi...

Écrit par : iSpeed 3 May 2019, 07:09

C'est parce qu'ils sont les meilleurs

Écrit par : codeX 3 May 2019, 07:20

Redescends de ton piédestal ma cocotte. C’est pas parce que tu trouves l’idée immonde, qu’elle l’est. Si tu lisais la news avant de sauter là dessus comme un rat qui va aux pommes juste pour nous placer ton applefric, tu te rendrais compte que ce n’est pas applefric© qui a introduit ça en premier.

Écrit par : WipeOut 3 May 2019, 08:38

BackDoor Inside ?

J'adore le "Self Healing Bios", en gros le reset Bios pour noob ?
"Automatic NetWork Isolation" il fait un VPN ?

ah le fameux https://en.wikipedia.org/wiki/Intel_Management_Engine un backdoor pour moi
Je sais AMD a le même délire, https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor

Bref mon Q cette histoire "c'est pour vôtre sécurité", non ?

Écrit par : fxn 3 May 2019, 08:56

ça ne sert à rien de répondre à quelqu'un qui vient quotidiennement vomir une telle logorrhée. c'est juste le reflet d'une perversion, une projection de frustration et d'aigreur...

Écrit par : otto87 3 May 2019, 10:07

A fuir absolument pour les utilisateur de linux????
Je trouve pas d'infos....

Écrit par : iAPX 3 May 2019, 12:10

Même si c'était vraiment pour la sécurité, ça rajoute une CPU, encore un autre firmware avec un OS tournant probablement en continu vu les fonctions: ça étend la surface d'attaque ou la déplace ad-minima.

Le plus grotesque étant d'avoir une CPU rajoutée pour protéger la CPU qui protège la CPU principale: tant qu'on y est rajoutez-en encore une couche

Écrit par : linus 3 May 2019, 16:11

Et est-ce que l'hypothèse que tous les constructeurs sont confrontés aux mêmes contraintes et, compte tenu des technos disponibles, y donnent forcément des réponses similaires, est totalement en dehors de ton schéma de pensée ?

Écrit par : otto87 3 May 2019, 16:33

La contrainte c'est de maximiser le pognon, rien d'autre. Et ça justement c'est le modèle de pensé qui détruit tout aussi bien physiquement que moralement...

Écrit par : MixUnix 3 May 2019, 22:47

Ils ont dans l'idée que ça pourrait inciter des gouvernements ou des organismes ou autres à acheter du HP parce que "secure".

Écrit par : Som 4 May 2019, 04:59

Si Huawei fait la même chose...

Écrit par : vlady 4 May 2019, 09:53

Et de votre côté aussi certaine incontinence se manifeste clairement. Deux haters des haters qui remettent une double couche de posts creux est inutiles. Voilà ma petite giclé de vomis pour compléter celle de codeX (un spécialiste dans l'exercice) et la tienne.

Écrit par : iAPX 4 May 2019, 11:48

Très certainement!

J'ai pu prendre plus de temps pour regarder leur communication, et il s'agit d'un assemblage PR de différentes technologies qui n'ont rien de révolutionnaires, avec des erreurs sur ce qu'est vraiment du "Hardware" aujourd'hui, probablement volontaires pour essayer de se donner un avantage sur le papier.
Beaucoup de points dont aucun ne semble réussi (ou compris), habillés avec un langage technique, le tout précédé d'un beau discours anxiogène sur la sécurité, alors que fondamentalement tout cela est orienté vers la gestion de parc de machines.

Le système T2 est très différent y-compris dans son intégration, et pour moi meilleur en terme de sécurité non-intrusive, conçu pour augmenter grandement le niveau de sécurité réelle mais orienté vers des utilisateurs individuels et non la gestion de parc à distance.

Pour résumer HP a de bons outils de gestion de parc, et ils donnent des arguments sécuritaires fallacieux pour que ceux qui administrent puissent orienter les choix des décideurs.

PS: le plus drôle étant leur http://www8.hp.com/h20195/v2/GetPDF.aspx/4AA7-2608ENW.pdf(PDF) dans sa version Crypto Erase "Crypto Erase is a function enabled only in SATA SED SSDs. Using the ATA command CRYPTO SCRAMBLE EXT, this function removes the encryption key effectively making it impossible to reconstruct any of the data on the storage device. Crypto Scramble is implemented on both HDD and SSD SED devices". Heureusement les Mac sont bien plus sûrs car ne stockant nulle part la clé de chiffrement lorsqu'éteint!

Écrit par : vlady 4 May 2019, 14:07

Pour moi, c'est tout le contraire, c'est hyper intrusif. Au point qu'Apple peut te forcer la validation "piece d'origine" (hors de prix) pour une réparation. Et aspect "sécurité" c'est du vent qui s'en va complementement une fois la machine bootée (open bar pour tout le malware). Ça peut passer encore sur des bécanes nomades (qui trainent n'importe où), mais c'est complètement injustifié pour des desktops, on a des SSD standards qui sont aussi véloces qui les machins du T2. T2 c'est juste une couche pour corrompre l'esprit d'ouverture des archis PC/Intel et mettre une grosse dose de matos propriétaire et pousser encore plus haut des prix des options pour le stockage. Avec des bugs et des kernel panics liés au bridgeOS en bonus.

Écrit par : Krazubu 4 May 2019, 16:56

Ben si, stocké dans la puce T2. Sinon tu perdrais tout à chaque allumage. Il ne s'agit pas du mot de passe filevault.
La commande crytpo scramble ext fait partie de la norme ATA et concerne l'encryptage qui a lieu entre le controlleur et la puce mémoire. Cet encryptage est activé en permanence, la clef n'est pas choisie par l'utilisateur, et il permet d'éviter des attaques physiques en obligeant à lire une puce mémoire via son contrôleur originel. Hp ne prétend pas avoir inventé la commande et ne fait que l'utiliser. T2/filevault concerne un autre niveau, les comparer n'a pas de sens, ils sont d'ailleurs probablement simultanément actifs, tout comme avoir filevault activé ne t'interdit pas de mettre un mot de passe à un fichier dmg stocké sur le même disque, et réciproquement, l'usage de cette commande rendra les données du SSD inaccessible, même avec filevault correctement "ouvert" avec les bonnes clefs.

Écrit par : iAPX 4 May 2019, 18:10

Non la clé de chiffrement de Filevault 2 n'est stockée nulle part machine éteinte, elle est chiffrée et donc inutile, contrairement aux HP, qui sont donc destiné à être accessible par des organisations bien équipées.

La bonne façon de faire est d'avoir une clé de chiffrement, jamais stockée (la RAM n'est pas du "stockage" mais un usage temporaire jusqu'à extinction), dont on dérive des clés secondaire par chiffrement symétrique avec le mot-de-passe des comptes y ayant accès, cette clé secondaire qui n'est pas la clé de chiffrement est alors associée au compte et l'utilisateur au login initial (phase boot et non macOS actif) donne son mot-de-passe pour déchiffrer la clé de chiffrement via la clé secondaire associée à son compte et son mot-de-passe (pas plus stocké).

Sauf que, dans beaucoup de Disques Durs et SSD, on stocke la clé de chiffrement et on valide le mot-de-passe entré pour activer le déchiffrement/chiffrement (lecture/écriture), ce qui est absolument tout sauf sécurisé et qui a été hacké sur de nombreux dispositifs, puisque destiné à être hacké.
HP nous la fait à l'envers comme diraient certains...

PS: HP veut paraître sécurisé quand en fait ils organisent des backdoors, car on ne peut pas effacer la clé de chiffrement sur un Mac car n'existant nulle part (sauf temporairement recréée, T2 ou pas), ce qui est la bonne méthode cryptographique loin de la poudre aux yeux du PR de HP. https://www.ru.nl/publish/pages/909282/draft-paper.pdf (PDF)
Le plus drôle est de croire qu'une commande à un ordinateur qui est un stockage DAS/NAS (topologie en chaînage en SATA, sinon topologie point-à-point) sera exécutée telle-que, on dirait Bernadette Soubirou là!

Écrit par : STRyk 4 May 2019, 18:34

Cool, des problèmes en plus.
Ca va etre bien pour bosser tout ca.

Écrit par : Som 5 May 2019, 02:51

On ne sait pas ce que cette puce permet de faire, autre que ce qu'apple affirme.
Déjà que celle d'intel roule avec son propre Os.

Écrit par : iAPX 5 May 2019, 04:21

+1 comme pour beaucoup d'autres choses.

Écrit par : Kagekev 5 May 2019, 07:41

Pourtant ça fait des années qu'ils nous en font l'éloge sur les différents séminaires HP où je vais...

De mémoire, elle permet, entre autres, de comparer la signature de l'EFI avec les serveurs d'HP pour s'assurer qu'il n'a pas été compromis, et de le restaurer, le cas échéant.

Et il me semble qu'on en est à la 4ème génération de ces puces. Après dans le monde du retail, ils en font aussi beaucoup plus la promotion.

Écrit par : iAPX 5 May 2019, 13:01

Et ça vérifie comment la signature de son propre firmware?
Ils vont rajouter une puce de plus pour celui-ci?



PS: je recommande la lecture de cet article (en anglais) sur https://arstechnica.com/information-technology/2019/05/a-mysterious-hacker-gang-is-on-a-supply-chain-hacking-spree/ pour comprendre à quel point on est désarmé même face à des logiciels connus et correctement signés!
Le fameux discours de Ken Thompson lors de la remise de son prix Turing en 1983, "https://www.archive.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf" (PDF), est incroyablement d'actualité...

Écrit par : Som 6 May 2019, 03:02

https://itsfoss.com/fact-intel-minix-case/

For example, what proves the firmware running on your Ethernet or Wireless NIC don’t spy at you to transmit data through some hidden channel?

What makes Intel ME more a concern is because it works at a different scale, being literally a small independent computer looking at everything happening on the host computer.