Intel : découverte d’une nouvelle faille dans l'AMT !

Une nouvelle vulnérabilité affectant les processeurs Intel a été découverte la semaine dernière par les chercheurs de la société F-Secure. Celle-ci affecte plus spécifiquement les modules Active Management Technology et permet à un attaquant de prendre le contrôle de la machine.

Spectre et Meltdown ont attiré beaucoup d’attention sur les processeurs Intel en début de mois. Mais le fondeur ne semble pas encore tiré d’affaire : vendredi, la société F-Secure publiait ainsi un rapport détaillant une nouvelle vulnérabilité présente au sein des processeurs Intel et plus particulièrement au sein des modules AMT embarqués par certains modèles de processeurs.

Les modules AMT d’Intel ont retenu l’attention de nombreux chercheurs en sécurité au cours des dernières années. En effet, ces modules installés par Intel sur certains processeurs constituent un motif d’inquiétude pour certains administrateurs. AMT est un module utilisé pour la prise de contrôle à distance de machines Intel. Celui-ci embarque plusieurs logiciels et outils, tels que des fonctions de connexion au réseau, d’accès à la mémoire de la machine ou des différents équipements branchés, et peut permettre d’accéder à la machine en contournant les mots de passe mis en place au niveau du Bios ou de l’OS, AMT étant accessible au démarrage de la machine.

C’est sur ce principe que se base la vulnérabilité découverte par F-Secure : AMT dispose d’un mot de passe par défaut, qui peut permettre à un attaquant disposant d’un accès physique à la machine d’accéder à AMT et de mettre en place une porte dérobée sur la machine ; il ne s’agit pas d’une faille issue d’un bug, comme c’était le cas pour Meltdown et Spectre, mais d’un problème de configuration du module. Comme l’explique F-Secure, les modules AMT sont généralement laissés avec le mot de passe par défaut « admin » qui est rarement modifié par l’utilisateur.

Le gros problème de cette faille, c’est qu’elle est vraiment très simple à mettre en place, mais qu’elle a pourtant un potentiel destructeur énorme. Le chercheur qui en a fait la découverte affirme lui même que cette faille peut permettre de prendre le contrôle des machines malgré les mesures de sécurité les plus pointues.

En effet, cette « faille » repose sur une négligence. En temps normal, si on tente d’accéder au menu de démarrage (Boot), on est bloqué sans rien pouvoir faire sans le mot de passe du BIOS. Mais en sélectionnant « Intel Management Engine BIOS Extension », n’importe qui peut alors se connecter à l’aide du mot de passe « admin », valeure par défaut qui n’est pas modifiée dans la plupart des cas. Après ça, le hacker pourra aisément modifier le mot de passe et activer l’accès à distance...

Si l’exploitation de cette faille demande un court accès physique à la machine, celle-ci est par la suite totalement accessible à distance. Dans quel scénario cette faille pourrait-elle être exploitable ? Celui qui l’a découvert répond avec un exemple : « Les pirates identifient et localisent leur victime. Ils s’approchent ensuite de l’ordinateur visé lorsque celui-ci se trouve dans un lieu public : aéroport, café ou encore hall d’hôtel. » Bien que cela fasse penser à une scène de film, le fait que la faille soit vraiment très rapide à exploiter rend l’histoire crédible. Puis, il continue : « Pendant que l’un des pirates distrait l’utilisateur, l’autre accède brièvement à l’appareil. L’attaque ne demande que peu de temps : l’opération peut prendre moins d’une minute ».

Pour lutter contre cette faille, les chercheurs conseillent dans un premier temps de ne pas laisser votre ordinateur sans surveillance. Ensuite, la procédure consiste à définir un mot de passe pour AMT qui soit assez fort, et de désactiver cette fonction quand cela est possible. Bien entendu, et c’est là que ça se complique, les services informatiques vont devoir passer en revue toutes les machines susceptibles d’être concernées et appliquer les recommandations, ce qui peut s’avérer fastidieux sur un parc de 20 000 postes informatiques répartis dans le monde par exemple.