Une vulnérabilité Intel AMT permet aux pirates de contourner les identifiants de connexion de presque n’importe quel ordinateur portable professionnel

Rueil-Malmaison, le 12 janvier 2018 - F-Secure a découvert une vulnérabilité majeure affectant la plupart des ordinateurs portables professionnels. Celle-ci permet à un hacker disposant d’un accès physique à l’appareil, de le pirater en moins de 30 secondes. Il peut alors déjouer les mots de passe, y compris BIOS, ou Bitlocker, puis mettre en place un accès à distance pour des opérations ultérieures. La vulnérabilité est présente sur Intel Active Management Technology (AMT); elle affecte donc potentiellement des millions d'ordinateurs portables dans le monde.

Cette vulnérabilité est « d’une simplicité presque effarante, mais son potentiel destructeur est incroyable », déclare Harry Sintonen, Senior Security Consultant chez F-Secure, à l’origine de la découverte de cette vulnérabilité. « En pratique, cette faille peut donner au hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues. »

Intel AMT est une solution de contrôle d'accès à distance et de maintenance pour les ordinateurs professionnels. Elle a été conçue pour permettre aux services informatiques ou aux fournisseurs de services managés de gérer plus efficacement leur parc d'appareils. Cette technologie très répandue a déjà présenté de nombreuses failles de sécurité par le passé, mais la simplicité d’exploitation de cette vulnérabilité est sans précédent. Cette faille peut être exploitée en quelques secondes, sans une seule ligne de code.

La définition d’un mot de passe BIOS empêche en principe un utilisateur non-autorisé de démarrer le périphérique ou d'y apporter des modifications… mais un accès non-autorisé au BIOS AMT reste possible. La vulnérabilité tire profit de ce paradoxe. Le pirate peut ainsi accéder à l'ordinateur pour modifier sa configuration et ainsi permettre une exploitation à distance.

Il suffit au pirate de redémarrer (ou d’allumer) l’ordinateur en question, puis d’appuyer sur CTRL-P pendant le démarrage. Il se connecte ensuite à Intel Management Engine BIOS Extension (MEBx) en utilisant le mot de passe par défaut, "admin", puisque, la plupart du temps, cette valeur par défaut n'est pas personnalisée. Il modifie ensuite le mot de passe, active l'accès à distance et définit l'option d'entrée de l'utilisateur AMT sur "Aucun". Il est alors en mesure d’accéder au système, à distance, à partir de réseaux sans fil ou câblés : cet accès est possible via une connexion sur le même segment de réseau que sa victime, ou bien depuis l'extérieur, via un serveur CIRA.

Harry Sintonen explique que, même si la cyber attaque initiale nécessite un accès physique, elle peut être réalisée très rapidement et, de ce fait, peut être aisément mise en œuvre : « vous laissez votre ordinateur portable dans votre chambre d'hôtel, le temps d’aller boire un verre. Le pirate entre alors par effraction et reconfigure votre appareil en moins d'une minute. Il peut ensuite y accéder chaque fois que vous utilisez le réseau Wi-Fi de l'hôtel. Et puisque l'ordinateur se connecte au VPN de votre entreprise, le pirate peut accéder aux ressources de celle-ci. » Le chercheur insiste : dans un café ou un aéroport, le pirate n’a besoin d’éloigner sa victime de son ordinateur portable que durant une minute, pour mener son attaque.

Harry Sintonen a découvert le problème en juillet 2017. Un autre chercheur a également fait, plus récemment, état de cette vulnérabilité*. Il est essentiel que les entreprises et les administrations soient informées du problème afin de pouvoir corriger cette faille avant qu'elle ne soit exploitée. Par le passé, une vulnérabilité similaire a également été signalée par CERT-Bund, mais celle-ci concernait le provisionnement USB, rappelle Harry Sintonen.

La vulnérabilité décrite dans ce communiqué affecte la plupart, sinon tous les ordinateurs portables qui prennent en charge Intel Management Engine / Intel AMT. Elle n’a aucun lien avec les vulnérabilités récemment dévoilées Spectre et Meltdown.

Intel recommande aux fournisseurs d'exiger la configuration du mot de passe BIOS pour Intel AMT. Vous pouvez consulter la note d’Intel à ce sujet (décembre 2017) : Security Best Practices of Intel Active Management Technology Q&A (« Questions-Réponses concernant les bonnes pratiques en cybersécurité, avec Intel Active Management Technology »).

Recommendations

Aux utilisateurs finaux

• Ne laissez jamais votre ordinateur portable sans surveillance dans un endroit non-sécurisé, notamment dans les lieux publics.
• Contactez le service informatique de votre entreprise pour remédier au problème.
• Si vous administrez seul votre appareil, modifiez le mot de passe AMT (choisissez-en un suffisamment complexe), même si vous n'avez pas l'intention d'utiliser AMT. Si vous pouvez désactiver AMT, faites-le. Si le mot de passe est déjà réglé sur une valeur inconnue, considérez l'appareil comme suspect.

• Ajustez le processus de provisionnement du système pour inclure la définition d'un mot de passe AMT puissant, avec désactivation de l'AMT lorsque cette option est disponible.
• Configurez, pour chacun des appareils du réseau, le mot de passe AMT. Si celui-ci est déjà réglé sur une valeur inconnue, considérez le dispositif comme suspect et lancez la procédure de gestion de crise.

Plus d’informations

Une vulnérabilité critique présente sur Active Management Technology (AMT) d’Intel