Intel AMT comporte un important trou de sécurité selon F-Secure

Par:
fredericmazue

ven, 12/01/2018 - 14:48

F-Secure a découvert une vulnérabilité affectant potentiellement la plupart des ordinateurs portables professionnels. Celle-ci, explique F-Secure, permet à un hacker disposant d’un accès physique à l’appareil, de le pirater en moins de 30 secondes. Il peut alors déjouer les mots de passe, y compris BIOS, ou Bitlocker, puis mettre en place un accès à distance pour des opérations ultérieures. La vulnérabilité est présente sur Intel Active Management Technology (AMT); elle affecte donc potentiellement des millions d'ordinateurs portables dans le monde.

Cette vulnérabilité est « d’une simplicité presque effarante, mais son potentiel destructeur est incroyable », déclare Harry Sintonen, Senior Security Consultant chez F-Secure, à l’origine de la découverte de cette vulnérabilité. « En pratique, cette faille peut donner au hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues ».

Intel AMT est une solution de contrôle d'accès à distance et de maintenance pour les ordinateurs professionnels. Elle a été conçue pour permettre aux services informatiques ou aux fournisseurs de services managés de gérer plus efficacement leur parc d'appareils. Cette technologie très répandue a déjà présenté de nombreuses failles de sécurité par le passé, souligne F-Secure, mais la simplicité d’exploitation de cette vulnérabilité est sans précédent. Cette faille peut être exploitée en quelques secondes, sans une seule ligne de code.

La définition d’un mot de passe BIOS empêche en principe un utilisateur non-autorisé de démarrer le périphérique ou d'y apporter des modifications… mais un accès non-autorisé au BIOS AMT reste possible. La vulnérabilité tire profit de ce paradoxe. Le pirate peut ainsi accéder à l'ordinateur pour modifier sa configuration et ainsi permettre une exploitation à distance.

Il suffit au pirate de redémarrer (ou d’allumer) l’ordinateur en question, puis d’appuyer sur CTRL-P pendant le démarrage. Il se connecte ensuite à Intel Management Engine BIOS Extension (MEBx) en utilisant le mot de passe par défaut, "admin", puisque, la plupart du temps, cette valeur par défaut n'est pas personnalisée. Il modifie ensuite le mot de passe, active l'accès à distance et définit l'option d'entrée de l'utilisateur AMT sur "Aucun". Il est alors en mesure d’accéder au système, à distance, à partir de réseaux sans fil ou câblés : cet accès est possible via une connexion sur le même segment de réseau que sa victime, ou bien depuis l'extérieur, via un serveur CIRA.

Tel est, ci-dessus, le communiqué alarmiste de F-Secure. Néanmoins, à notre humble avis, la négligence des utilisateurs et, surtout, des administrateurs système doit tout autant être pointée du doigt. En effet, laisser un mot de passe par défaut sur quelque système que ce soit, n'est pas vraiment une bonne pratique...