Une vulnérabilité critique présente sur Active Management Technology (AMT) d’Intel

Cette vulnérabilité Intel AMT permet aux pirates de contourner vos identifiants de connexion, mots de passe BIOS, TMP Pin et Bitlocker, pour accéder à presque n'importe quel ordinateur portable professionnel… en quelques secondes.

Auteur: Guillaume
Date: 12/01/2018
Temps de lecture: 4 Minutes

Imaginez un pirate, capable d’accéder à distance à votre ordinateur portable et de l’utiliser comme bon lui semble, sans que vous ne puissiez rien y faire. Effrayant, n’est-ce pas ? Heureusement, ce type de prouesses (piratage de mots de passe complexe, de pare-feu et autres logiciels) n’existe que dans les films hollywoodiens.

Seulement, parfois, la réalité dépasse la fiction… En juillet 2017, Harry Sintonen, Senior Security Consultant chez F-Secure, a découvert une vulnérabilité critique sur Active Management Technology (AMT) d’Intel. AMT est une solution de contrôle d’accès à distance et de maintenance pour les ordinateurs professionnels. Elle a été conçue pour permettre aux services informatiques ou aux fournisseurs de services managés de gérer plus efficacement leur parc d’appareils.

Cette technologie a déjà présenté de nombreuses failles de sécurité par le passé. Les chercheurs ont, à de nombreuses reprises, fait état de vulnérabilités affectant AMT… mais Harry reste le premier surpris par sa propre découverte.

« L’attaque est d’une simplicité presque effarante ; pourtant, son potentiel destructeur est incroyable. En pratique, cette faille peut donner au hacker un contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues », explique-t-il.

Comment la vulnérabilité est-elle exploitée, en pratique ?

Cette faille permet aux pirates de contourner vos identifiants de connexion, mots de passe BIOS, TMP Pin et Bitlocker, pour accéder à presque n’importe quel ordinateur portable professionnel… en quelques secondes. Et non, nous n’inventons rien.

L’exploitation de la vulnérabilité est un jeu d’enfant : le pirate redémarre l’ordinateur visé, puis accède au menu de démarrage (boot menu). En temps normal, il ne peut pas aller plus loin sans connaître le mot de passe du BIOS. Il lui est donc impossible de nuire… mais AMT lui offre un moyen de contourner ces mesures de sécurité. En sélectionnant Intel Management Engine BIOS Extension (MEBx), le pirate peut se connecter à l’aide du mot de passe « admin », puisque, la plupart du temps, cette valeur par défaut n’est pas personnalisée. Il ne lui reste alors que quelques manipulations à effectuer : modifier le mot de passe, activer l’accès à distance et définir l’option d’entrée de l’utilisateur AMT sur « Aucun ». Un cyber criminel procédant ainsi est capable d’infecter votre machine en l’espace de quelques secondes. À la suite de cela, il peut accéder à votre système à distance, à condition d’être connecté sur le même segment réseau. [L’activation de l’accès sans fil nécessite quelques étapes supplémentaires.]

Certes, les pirates ont besoin d’un accès physique, mais cela ne constitue pas nécessairement un frein aux attaques ciblées. Harry Sintonen donne pour exemple une stratégie utilisée à la fois par les cyber criminels et les Red Teams (équipes de cyber sécurité chargées de simuler des attaques).

« Les pirates identifient et localisent leur victime. Ils s’approchent ensuite de l’ordinateur visé lorsque celui-ci se trouve dans un lieu public : aéroport, café ou encore hall d’hôtel. Pendant que l’un des pirates distrait l’utilisateur, l’autre accède brièvement à l’appareil. L’attaque ne demande que peu de temps : l’opération peut prendre moins d’une minute », explique Harry.

Faire face au problème

La première étape pour lutter contre ceci est bien sûr d’assurer la sécurité physique de votre appareil (ne laissez jamais votre ordinateur portable sans surveillance dans un endroit peu sûr!). Il convient également de mettre en place des mesures de sécurité au niveau informatique. Le processus de provisioning du système doit être modifié et prévoir la définition d’un mot de passe AMT suffisamment complexe, avec, lorsque cela est possible, la désactivation de cette technologie. Le service informatique de votre entreprise doit passer en revue tous les périphériques potentiellement concernés. Les recommandations d’Intel concernant AMT suivent une logique similaire.

Problème : en pratique, de telles mesures peuvent s’avérer particulièrement complexes à mettre en œuvre. Les services informatiques risquent d’éprouver des difficultés à corriger ce problème à grande échelle, car, ironiquement, les modifications nécessaires peuvent être difficiles à effectuer à distance. Un rappel en masse des dispositifs concernés est souvent la seule manière de remédier au problème… et cela n’a rien d’agréable pour une organisation d’envergure mondiale. Nous conseillons, dans ce cas, d’évaluer le nombre d’appareils concernés et de réduire la liste à un nombre plus gérable d’appareils prioritaires. Les entreprises avec des environnements Microsoft peuvent tirer parti de System Center Configuration Manager pour provisionner AMT.

Plus important encore : si le mot de passe AMT a été réglé sur une valeur inconnue, considérez l’appareil comme suspect et lancez la procédure de gestion de crise. La règle n°1 en cybersécurité? Ne jamais prendre de risques inutiles.