plus69free - Fotolia
Intel AMT : des machines durablement vulnérables ?
La faille critique récemment découverte dans les technologies d’administration d’Intel, qui permet de prendre le contrôle complet des machines vulnérables, pourrait affecter durablement systèmes concernés.
Intel distribue depuis le 1er mai des correctifs pour les machines équipées de ses processeurs Core – depuis la première génération – et destinées aux entreprises et aux professionnels. Ceux-ci doivent combler une faille affectant les technologies d’administration AMT, ISM et SBT « qui peut permettre à un attaquant de prendre le contrôle des capacités d’administration offertes par ces produits ». Cette vulnérabilité permet de forcer l’exécution de code à distance et de prendre le contrôle complet des machines affectées. Les ordinateurs grand public ne sont pas concernés. HP et Lenovo ont promis des correctifs rapidement, tandis que Fujitsu et Dell en distribuent déjà.
Carlos Perez, directeur de la rétro-ingénierie chez Tenable, relève dans un billet de blog que le service local d’administration (LMS) doit être actif pour que la vulnérabilité soit exploitable. Mais il souligne que lorsque c’est le cas, il y a un risque de « contournement complet des mécanismes d’authentification ». Erlend Oftedal, développeur open source installé à Oslo, illustre l’ampleur du danger : « il y a un serveur Web dans votre processeur. Et il écoute même si votre ordinateur est éteint, tant qu’il a de l’électricité ».
There is a web server INSIDE your CPU. And it listens even though your computer is off as long as it has power... #unintelInside https://t.co/JpImedG0Rz
— Erlend Oftedal (@webtonull) May 6, 2017
Certes, le risque est susceptible d’être limité par le fait que « la plupart des interfaces d’administration de serveurs ne sont connectés qu’à des réseaux internes », souligne Tatu Ylonen, fondateur de SSH Communications Security. Pour autant, selon lui, cette vulnérabilité « exacerbe considérablement le risque d’attaque interne » par un acteur malveillant déjà installé dans le périmètre de l’entreprise : « l’impact peut être extrêmement sévère, comme la perte de confidentialité, d’intégrité ou de continuité de l’activité touchant les serveurs et les processus métiers les plus critiques ».
Désactiver LMS et plus généralement AMT constitue une protection en attendant mises à jour correctifs de constructeurs. Et justement, Jake Williams, fondateur de Rendition InfoSec, assure que ces fonctions d’administration « ne sont pas activées dans la plupart des réseaux de mes clients ».