Merci de votre message, une personne de l'équipe RP vous contactera très rapidement.
Rueil-Malmaison, le 12 janvier 2018 - F-Secure a découvert une vulnérabilité majeure affectant la plupart des ordinateurs portables professionnels. Celle-ci permet à un hacker disposant d’un accès physique à l’appareil, de le pirater en moins de 30 secondes. Il peut alors déjouer les mots de passe, y compris BIOS, ou Bitlocker, puis mettre en place un accès à distance pour des opérations ultérieures. La vulnérabilité est présente sur Intel Active Management Technology (AMT); elle affecte donc potentiellement des millions d'ordinateurs portables dans le monde.
Cette vulnérabilité est « d’une simplicité presque effarante, mais son potentiel destructeur est incroyable », déclare Harry Sintonen, Senior Security Consultant chez F-Secure, à l’origine de la découverte de cette vulnérabilité. « En pratique, cette faille peut donner au hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues. »
Intel AMT est une solution de contrôle d'accès à distance et de maintenance pour les ordinateurs professionnels. Elle a été conçue pour permettre aux services informatiques ou aux fournisseurs de services managés de gérer plus efficacement leur parc d'appareils. Cette technologie très répandue a déjà présenté de nombreuses failles de sécurité par le passé, mais la simplicité d’exploitation de cette vulnérabilité est sans précédent. Cette faille peut être exploitée en quelques secondes, sans une seule ligne de code.
La définition d’un mot de passe BIOS empêche en principe un utilisateur non-autorisé de démarrer le périphérique ou d'y apporter des modifications… mais un accès non-autorisé au BIOS AMT reste possible. La vulnérabilité tire profit de ce paradoxe. Le pirate peut ainsi accéder à l'ordinateur pour modifier sa configuration et ainsi permettre une exploitation à distance.
Il suffit au pirate de redémarrer (ou d’allumer) l’ordinateur en question, puis d’appuyer sur CTRL-P pendant le démarrage. Il se connecte ensuite à Intel Management Engine BIOS Extension (MEBx) en utilisant le mot de passe par défaut, "admin", puisque, la plupart du temps, cette valeur par défaut n'est pas personnalisée. Il modifie ensuite le mot de passe, active l'accès à distance et définit l'option d'entrée de l'utilisateur AMT sur "Aucun". Il est alors en mesure d’accéder au système, à distance, à partir de réseaux sans fil ou câblés : cet accès est possible via une connexion sur le même segment de réseau que sa victime, ou bien depuis l'extérieur, via un serveur CIRA.
Harry Sintonen explique que, même si la cyber attaque initiale nécessite un accès physique, elle peut être réalisée très rapidement et, de ce fait, peut être aisément mise en œuvre : « vous laissez votre ordinateur portable dans votre chambre d'hôtel, le temps d’aller boire un verre. Le pirate entre alors par effraction et reconfigure votre appareil en moins d'une minute. Il peut ensuite y accéder chaque fois que vous utilisez le réseau Wi-Fi de l'hôtel. Et puisque l'ordinateur se connecte au VPN de votre entreprise, le pirate peut accéder aux ressources de celle-ci. » Le chercheur insiste : dans un café ou un aéroport, le pirate n’a besoin d’éloigner sa victime de son ordinateur portable que durant une minute, pour mener son attaque.
Harry Sintonen a découvert le problème en juillet 2017. Un autre chercheur a également fait, plus récemment, état de cette vulnérabilité*. Il est essentiel que les entreprises et les administrations soient informées du problème afin de pouvoir corriger cette faille avant qu'elle ne soit exploitée. Par le passé, une vulnérabilité similaire a également été signalée par CERT-Bund, mais celle-ci concernait le provisionnement USB, rappelle Harry Sintonen.
La vulnérabilité décrite dans ce communiqué affecte la plupart, sinon tous les ordinateurs portables qui prennent en charge Intel Management Engine / Intel AMT. Elle n’a aucun lien avec les vulnérabilités récemment dévoilées Spectre et Meltdown.
Intel recommande aux fournisseurs d'exiger la configuration du mot de passe BIOS pour Intel AMT. Vous pouvez consulter la note d’Intel à ce sujet (décembre 2017) : Security Best Practices of Intel Active Management Technology Q&A (« Questions-Réponses concernant les bonnes pratiques en cybersécurité, avec Intel Active Management Technology »).
Recommendations
Aux utilisateurs finaux
Plus d’informations
Une vulnérabilité critique présente sur Active Management Technology (AMT) d’Intel
Fondée en 1988, F-Secure est une entreprise finlandaise spécialisée en cybersécurité et cotée au NASDAQ OMX Helsinki Ltd. Depuis plus de trente ans, nous protégeons des dizaines de milliers d’entreprises et des millions de particuliers grâce à notre réseau de partenaires de distribution, et plus de 200 fournisseurs de services. Des solutions de protection des postes de travail à la détection et réponses aux menaces avancées, nous veillons à ce que nos utilisateurs puissent compter sur une cyber sécurité de haut-niveau. L’alliance unique de l’expertise humaine de solutions logicielles et d’intelligence artificielle nous permet d’être reconnu comme un acteur incontournable du marché européen.
f-secure.com/fr | twitter.com/fsecurefrance | linkedin.com/f-secure | facebook.com/f-secure
PR Manager, France & Benelux
+33 6 43 62 98 12
amon.francoise.koutoua@f-secure.com
Justine Boiramier
06 50 31 86 24
justine@lagencerp.com
Yannis Ladghem
07 62 15 77 66
Yannis@lagencerp.com
Inscrivez-vous pour recevoir nos dernières informations Presse F-Secure
Parcourir par année
Parcourir par catégorie