Une vulnérabilité d’un programme de mise à jour à distance du groupe américain Intel permet aux pirates informatiques de pénétrer dans la plupart des ordinateurs portables professionnels, affirme ce vendredi 12 janvier le spécialiste finlandais de la cybersécurité F-Secure.
Cette faille n’a aucun rapport avec les vulnérabilités Spectre et Meltdown, dont la récente mise en lumière a déjà ébranlé le géant américain, spécialiste des puces informatiques. La faille présente dans le programme Intel AMT (pour Active Management Technology, solution de contrôle d’accès à distance et de maintenance pour les ordinateurs professionnels) “permet à un hacker disposant d’un accès physique à l’appareil de le pirater en moins de 30 secondes“, explique F-Secure dans un communiqué, ajoutant qu'”elle affecte (…) potentiellement des millions d’ordinateurs portables dans le monde“. Cette vulnérabilité est “d’une simplicité presque effarante, mais son potentiel destructeur est incroyable“, déclare Harry Sintonen, le consultant de F-Secure qui l’a découverte. “En pratique, cette faille peut donner au hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues.”
Sans entrer de mot de passe
Un pirate qui a l’ordinateur en main peut sans peine modifier la configuration d’Intel AMT et ensuite accéder au système de commande à distance, sans avoir à entrer aucun mot de passe, y compris BIOS, ou Bitlocker. Même si la cyberattaque initiale nécessite un accès physique, elle peut être réalisée très rapidement, selon Harry Sintonen: “Vous laissez votre ordinateur portable dans votre chambre d’hôtel, le temps d’aller boire un verre. Le pirate entre alors par effraction et reconfigure votre appareil en moins d’une minute. Il peut ensuite y accéder chaque fois que vous utilisez le réseau wifi de l’hôtel. Et puisque l’ordinateur se connecte au VPN (réseau privé virtuel, ndlr) de votre entreprise, le pirate peut accéder aux ressources de celle-ci.”
La plupart, sinon tous les portables concernés
F-Secure précise : le pirate redémarre, ou allume, l’ordinateur, puis d’appuie sur [CTRL-P] pendant le démarrage. Il se connecte ensuite à Intel Management Engine BIOS Extension (MEBx) en utilisant le mot de passe par défaut, “admin”, puisque, “la plupart du temps, cette valeur par défaut n’est pas personnalisée“, précise l’éditeur. Il modifie ensuite le mot de passe, active l’accès à distance et définit l’option d’entrée de l’utilisateur AMT sur “Aucun”. Il est alors en mesure d’accéder au système, à distance, à partir de réseaux sans fil ou câblés : cet accès est possible via une connexion sur le même segment de réseau que sa victime, ou bien depuis l’extérieur, via un serveur CIRA. La vulnérabilité “affecte la plupart, sinon tous, les ordinateurs portables” utilisant Intel AMT, selon F-Secure. Intel a bien sûr été prévenu, a relevé la société finlandaise. Intel recommande aux fournisseurs d’exiger la configuration du mot de passe BIOS pour Intel AMT.
Si Harry Sintonen a découvert le problème en juillet 2017, un autre chercheur a également fait, plus récemment, état de cette vulnérabilité : Parth Shukla, Google, en octobre 2017 “Intel AMT: Using & Abusing the Ghost in the Machine”.
Auteur : La rédaction avec AFP