Alerte rouge dans les salles blanches. Hier, lundi 1er mai, Intel a informé ses clients de l’existence depuis 2008 d’une faille critique dans certains processeurs, permettant à des pirates de prendre le contrôle à distance de la machine. La bonne nouvelle, c’est que ce risque ne concerne pas les ordinateurs grand public, mais uniquement les systèmes pour entreprises.
En effet, cette faille est logée dans « Active Management Technology », une partie du processeur qui permet aux services informatiques de gérer à distance leur parc d’ordinateurs. Cette technologie permet, par exemple, de rebooter la machine, de booter sur un autre système (par l’intermédiaire d’un fichier ISO) ou d’accéder à une console de commandes. Pour accéder à AMT, il faut évidemment s’authentifier. Or, cette faille permet justement de court-circuiter ce contrôle d’accès.
Ce qui est étonnant dans cette histoire, c’est que cette faille était apparemment connue depuis longtemps. Charlie Demerjian du site d’actualités SemiAccurate dit l’avoir détectée il y a quelques années, en faisant des recherches sur les portes dérobées dans les plate-formes matérielles. Mais les responsables d’Intel qu’il a contactés ne l’auraient jamais pris au sérieux. Dans sa note de sécurité, Intel remercie finalement Maksim Malyutin de la société Embedi pour l’avoir alerté sur cette faille.
Environ 7000 serveurs seraient réellement concernés
Quoi qu’il en soit, Intel met désormais à disposition un guide de détection pour savoir si une machine est concernée par cette faille ou non. Le fabricant propose une mise à jour du firmware qui permet de la colmater sur certaines versions de processeurs. Pour les autres machines concernées, Intel propose une procédure de configuration qui empêche l’exploitation de cette faille.
Même si cette faille existe depuis presque dix ans, l’impact est semble-t-il relativement limité. Interrogé par Ars Technica, le chercheur en sécurité HD Moore explique qu’elle ne concerne uniquement les machines sur lesquelles AMT est activée, qui font tourner le logiciel Windows « Local Manageability Service » et dont les ports de communications 16992 ou 16993 sont ouverts (ce sont les ports utilisés par AMT). Ce qui réduit l’impact direct à environ 7000 serveurs, d’après une recherche effectuée par HD Moore sur Shodan, le moteur de rechercher pour hackers. Toutefois, il y a aussi un impact indirect, dans la mesure où ces machines peuvent donner accès à d’autres ordinateurs connectés sur le même réseau local.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
