12 janvier 2018 |

Une vulnérabilité Intel AMT permet aux pirates de contourner les identifiants de connexion de presque n’importe quel ordinateur portable professionnel

Cette vulnérabilité Intel AMT permet aux pirates de contourner vos identifiants de connexion, mots de passe BIOS, TMP Pin et Bitlocker, pour accéder à presque n'importe quel ordinateur portable professionnel… en quelques secondes.

Cette vulnérabilité Intel AMT permet aux pirates de contourner vos identifiants de connexion, mots de passe BIOS, TMP Pin et Bitlocker, pour accéder à presque n’importe quel ordinateur portable professionnel… en quelques secondes.

Rueil-Malmaison, le 12 janvier 2018 – F-Secure a découvert une vulnérabilité majeure affectant la plupart des ordinateurs portables professionnels. Celle-ci permet à un hacker disposant d’un accès physique à l’appareil, de le pirater en moins de 30 secondes. Il peut alors déjouer les mots de passe, y compris BIOS, ou Bitlocker, puis mettre en place un accès à distance pour des opérations ultérieures. La vulnérabilité est présente sur Intel Active Management Technology (AMT); elle affecte donc potentiellement des millions d’ordinateurs portables dans le monde.

Cette vulnérabilité est « d’une simplicité presque effarante, mais son potentiel destructeur est incroyable », déclare Harry Sintonen, Senior Security Consultant chez F-Secure, à l’origine de la découverte de cette vulnérabilité. « En pratique, cette faille peut donner au hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues. »

Intel AMT est une solution de contrôle d’accès à distance et de maintenance pour les ordinateurs professionnels. Elle a été conçue pour permettre aux services informatiques ou aux fournisseurs de services managés de gérer plus efficacement leur parc d’appareils. Cette technologie très répandue a déjà présenté de nombreuses failles de sécurité par le passé, mais la simplicité d’exploitation de cette vulnérabilité est sans précédent. Cette faille peut être exploitée en quelques secondes, sans une seule ligne de code.

La définition d’un mot de passe BIOS empêche en principe un utilisateur non-autorisé de démarrer le périphérique ou d’y apporter des modifications… mais un accès non-autorisé au BIOS AMT reste possible. La vulnérabilité tire profit de ce paradoxe. Le pirate peut ainsi accéder à l’ordinateur pour modifier sa configuration et ainsi permettre une exploitation à distance.

Il suffit au pirate de redémarrer (ou d’allumer) l’ordinateur en question, puis d’appuyer sur CTRL-P pendant le démarrage. Il se connecte ensuite à Intel Management Engine BIOS Extension (MEBx) en utilisant le mot de passe par défaut, « admin », puisque, la plupart du temps, cette valeur par défaut n’est pas personnalisée. Il modifie ensuite le mot de passe, active l’accès à distance et définit l’option d’entrée de l’utilisateur AMT sur « Aucun ». Il est alors en mesure d’accéder au système, à distance, à partir de réseaux sans fil ou câblés : cet accès est possible via une connexion sur le même segment de réseau que sa victime, ou bien depuis l’extérieur, via un serveur CIRA.

Harry Sintonen explique que, même si la cyber attaque initiale nécessite un accès physique, elle peut être réalisée très rapidement et, de ce fait, peut être aisément mise en œuvre : « vous laissez votre ordinateur portable dans votre chambre d’hôtel, le temps d’aller boire un verre. Le pirate entre alors par effraction et reconfigure votre appareil en moins d’une minute. Il peut ensuite y accéder chaque fois que vous utilisez le réseau Wi-Fi de l’hôtel. Et puisque l’ordinateur se connecte au VPN de votre entreprise, le pirate peut accéder aux ressources de celle-ci. » Le chercheur insiste : dans un café ou un aéroport, le pirate n’a besoin d’éloigner sa victime de son ordinateur portable que durant une minute, pour mener son attaque.

Harry Sintonen a découvert le problème en juillet 2017. Un autre chercheur a également fait, plus récemment, état de cette vulnérabilité*. Il est essentiel que les entreprises et les administrations soient informées du problème afin de pouvoir corriger cette faille avant qu’elle ne soit exploitée. Par le passé, une vulnérabilité similaire a également été signalée par CERT-Bund, mais celle-ci concernait le provisionnement USB, rappelle Harry Sintonen.

La vulnérabilité décrite dans ce communiqué affecte la plupart, sinon tous les ordinateurs portables qui prennent en charge Intel Management Engine / Intel AMT. Elle n’a aucun lien avec les vulnérabilités récemment dévoilées Spectre et Meltdown.

Intel recommande aux fournisseurs d’exiger la configuration du mot de passe BIOS pour Intel AMT. Vous pouvez consulter la note d’Intel à ce sujet (décembre 2017) : Security Best Practices of Intel Active Management Technology Q&A (« Questions-Réponses concernant les bonnes pratiques en cybersécurité, avec Intel Active Management Technology »).

Recommendations

Aux utilisateurs finaux

  • Ne laissez jamais votre ordinateur portable sans surveillance dans un endroit non-sécurisé, notamment dans les lieux publics.
  • Contactez le service informatique de votre entreprise pour remédier au problème.
  • Si vous administrez seul votre appareil, modifiez le mot de passe AMT (choisissez-en un suffisamment complexe), même si vous n’avez pas l’intention d’utiliser AMT. Si vous pouvez désactiver AMT, faites-le. Si le mot de passe est déjà réglé sur une valeur inconnue, considérez l’appareil comme suspect.

Aux administrateurs IT

  • Ajustez le processus de provisionnement du système pour inclure la définition d’un mot de passe AMT puissant, avec désactivation de l’AMT lorsque cette option est disponible.
  • Configurez, pour chacun des appareils du réseau, le mot de passe AMT. Si celui-ci est déjà réglé sur une valeur inconnue, considérez le dispositif comme suspect et lancez la procédure de gestion de crise.

*Parth Shukla, Google, Octobre 2017 “Intel AMT: Using & Abusing the Ghost in the Machine

Plus d’informations

Une vulnérabilité critique présente sur Active Management Technology (AMT) d’Intel

A propos de F-Secure

30 ans d’expérience en cyber sécurité. Avec toujours le même moteur : l’innovation. L’entreprise finlandaise dispose aujourd’hui d’une expertise inégalée dans la lutte contre toutes les menaces, des infections de type ransomware aux cyber attaques avancées. Pour ce faire, F-Secure a élaboré une stratégie de défense sophistiquée, qui allie la puissance du machine learning et l’expertise humaine. Le nom de cette approche unique : Live Security. Les produits F-Secure sont proposés par plus de 200 opérateurs et des milliers de revendeurs. Ils défendent chaque jour des dizaines de milliers d’entreprises et des millions de particuliers.

Fondée en 1988, F-Secure est cotée sur le NASDAQ (code OMX Helsinki Ltd).
f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Espace Presse F-Secure | Dossier de Presse
Blogs F-Secure en français : Le Blog de F-Secure France | Visions et Sécurité IT

 

Contacts Médias

Guillaume Ortega
+33 (0) 6 31 45 81 09
guillaume.ortega@f-secure.com

Derniers communiqués de presse

22 octobre 2018

Ensemble, F-Secure et Zyxel sécurisent les foyers connectés

Un nouveau partenariat pour l’intégration de F-Secure Connected Home Security dans les routeurs domestiques de Zyxel.

10 octobre 2018

Rapport F-Secure : La France sur le podium des pays les plus ciblés au premier semestre 2018

Le nouveau rapport de F-Secure montre que les attaques par ransomware ont diminué au premier semestre 2018. La sécurité des systèmes et le renforcement des technologies antivirus expliquent cette baisse, obligeant les pirates à se tourner vers le spam et le cryptojacking.

20 septembre 2018

F-Secure TOTAL se développe pour vous protéger, vous, vos appareils et désormais votre foyer

La nouvelle offre de cyber sécurité de F-Secure destinée aux particuliers comporte désormais une offre de sécurité, un gestionnaire de mots de passe, un VPN et une box pour protéger les objets des maisons connectées.

13 septembre 2018

Une faille dans les micrologiciels installés sur des PCs portables donne accès aux clés de chiffrement

Les experts F-Secure affirment que les mesures de sécurité actuelles ne permettent pas de réellement protéger les données présentes sur les ordinateurs portables perdus ou volés.

%d blogueurs aiment cette page :