Un bogue affectant les micrologiciels de l’Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) et Small Business Technology (SBT), des versions 6 à 11.6, vient d’être corrigé par Intel.
La faille de sécurité critique permet à un attaquant d’accéder aux fonctions de gestion de ces produits : trafiquer en silence les processeurs, installer des logiciels malveillants presque indétectables, sans qu’un système d’exploitation n’y puisse rien.
L’engin de gestion a accès aux ports de réseaux tout comme un accès direct à la mémoire, peut lire ou écrire arbitrairement sur toute mémoire ou type de stockage attaché au système, circonvenir le chiffrement de disque une fois ouvert, écrire sur un moniteur, etc.
Le seul moyen de supprimer définitivement la vulnérabilité est d’installer une mise à jour du micrologiciel. Intel a développé le correctif et l’a distribué aux fabricants d’ordinateurs. Désormais, c’est d’eux dont on va dépendre pour tester les correctifs, et les mettre à disposition de leurs clients.
Dans l’intervalle, on peut télécharger et suivre un guide de réduction des risques en anglais pour Windows 7 et Windows 10.
Théoriquement, les PC grand public ne sont pas affectés. Dans les faits, c’est incertain, car les OEM orientés professionnels comme IBM, Lenovo, Dell ou HP, utilisent souvent les mêmes puces dans leurs offres grand public et dans leurs offres professionnelles.
Outre la sévérité de la faille de sécurité, c’est l’étendue du désastre potentiel qui impressionne, puisque de très nombreuses puces d’Intel produites ces dix dernières années, de Nehalem à Kaby Lake, sont vulnérables.
Sachant que la garantie d’un ordinateur dépasse rarement 3 ans, on peut craindre que de nombreux vieux PC/serveurs toujours utilisés ne soient jamais corrigés.
D’après Intel, la faille, référencée comme CVE-2017-5689 / Intel-SA-00075, aurait été découverte par Maksim Malyutin d’Embedi en mars.
Toutefois, d’autres sources laissent à penser qu’Intel a été contacté depuis plus de cinq ans quant aux failles de l’AMT et de vPro, et que le fondeur a toujours répondu avec arrogance, ignorant simplement les interventions ou rétorquant que c’était impossible.
Ces problèmes ont été également mentionnés à maintes reprises dans des séminaires, sans qu’Intel ne réagisse.