Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1876 connectés 

  FORUM HardWare.fr
  Hardware
  Carte mère

  Cartes mères avec CPU Intel: désactiver Intel ME (la super backdoor)

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

Cartes mères avec CPU Intel: désactiver Intel ME (la super backdoor)

n°10259534
mooms
Posté le 26-10-2017 à 00:31:42  profilanswer
 

http://reho.st/preview/self/4fe0fc50b58618b66d387aed4332a8960769735c.png
 
 
 
Introduction:
 
Depuis 2007, Intel fournit avec ses chipsets le Management Engine (ME), en gros c'est un ordinateur dans l'ordinateur, avec son propre CPU (x86 depuis la v11, ARC auparavant), son propre OS, qui permet des tas de choses intéressantes, comme le contrôle total d'un PC, même éteint (tant qu'il est branché électriquement si c'est un fixe), la visualisation de l'écran, l'enregistrement des frappes clavier, l'accès à la RAM, le flash du BIOS, (etc..),  indépendamment de l'OS, du moment que le PC est relié à Internet. La backdoor ultime.
Si c'est justifiable dans le cas d'un parc de PC professionnels (les technos AMT et AntiTheft s'appuient sur le ME par exemple), ça l'est beaucoup moins pour le PC des particuliers, surtout que le ME n'est pas (officiellement) désactivable.
Certains pensent même que c'est à la demande des services secrets US qu'Intel à mis en place le ME.
AMD a une technologie équivalente, appelée PSP (Platform Security Processor), mais ce n'est pas l'objet de ce topic.
 
En résumé: si vous avez un PC avec CPU Intel de moins de 10 ans, vous avez un deuxième ordinateur indépendant avec CPU et OS (chiffré) qui fonctionne même quand votre PC est éteint, peut l'allumer, et ce n'est pas vous qui en avez le contrôle.
 
Pour couronner le tout, plusieurs failles de sécurité ont été récemment découvertes dans le ME, ce qui rend potentiellement piratable tout PC avec CPU Intel, quel que soit votre OS.  
 
Infos en français:
http://www.hardware.fr/news/15102/ [...] l-amt.html
http://www.hardware.fr/news/15247/ [...] ngine.html
http://www.hardware.fr/news/15297/ [...] el-me.html
https://www.zataz.com/pirater-a-distance-intel/
http://blogmotion.fr/internet/secu [...] 5689-15938  
https://www.touslesdrivers.com/inde [...] _code=6843
 
Infos en anglais:
http://me.bios.io/Main_Page
https://www.bleepingcomputer.com/ne [...] -execution  
https://newsroom.intel.com/news/imp [...] y-firmware
https://www.blackhat.com/eu-17/brie [...] ngine-8668
http://blog.invisiblethings.org/pa [...] armful.pdf
https://security-center.intel.com/a [...] geid=en-fr
 
 
Intel fournit certes des correctifs, mais les fabricants de carte-mères ne sortent pas toujours de mise à jour de BIOS, surtout sur les cartes-mères un peu anciennes, et rares sont les utilisateurs à mettre à jour leur BIOS ou leur ME.
De nouvelles failles seront potentiellement découvertes.
Et il reste qu'Intel (et Dieu sait qui) ont les clés de tous les PC comportant un ME actif...
 
 
Après vous avoir dressé ce tableau noir, j'en viens à la bonne nouvelle: il est possible de neutraliser et/ou désactiver le ME, et ce sans effets secondaires gênants dans la plupart des cas.
me_cleaner est un projet open-source visant à supprimer le maximum possible du firmware du ME (contenu dans votre puce BIOS, dans ce qu'on appelle  la région ME), le rendant inopérant tout en gardant les fonctions nécessaires au bon fonctionnement du PC.
Liste des chipsets qui peuvent êtres débarrassés du ME
Explication du fonctionnement de me_cleaner
 
Récemment, des chercheurs ont trouvé comment désactiver le ME en changeant un seul bit (ME Disable Bit): 1 2 3 4
 
Cette fonction a été intégrée dans me_cleaner, ce qui permet de choisir entre un nettoyage, une désactivation, ou les deux à la fois.
 
Le nettoyage/désactivation du ME sera l'objet de la suite de ce topic.
 
Pour les nerds, voilà un guide en anglais qui couvre Windows et Linux et un autre très complet pour Linux.
Pour le commun des mortels, qu'on imagine sous Windows et pas très au courant des manips à effectuer, mais assez courageux et soucieux de leur sécurité informatique, la suite du guide est pour eux. Je vous conseille avant tout de lire les trois posts suivants afin de bien maitriser le sujet.


Message édité par mooms le 21-11-2017 à 18:36:55

---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
mood
Publicité
Posté le 26-10-2017 à 00:31:42  profilanswer
 

n°10259535
mooms
Posté le 26-10-2017 à 00:32:07  profilanswer
 

Section matériel

 

Je recommande vivement l'achat d'un programmeur SPI externe, et d'une puce BIOS de rechange pour pouvoir effectuer le flash en toute sécurité. Cela vous coutera entre 5 à 10€ pour le tout, ce n'est vraiment pas un gros investissement !

 

On trouve des programmeurs SPI USB sur eBay à partir de 2€.
Si le lien eBay est mort, tapez CH341A dans la recherche.

 

Ça ressemble à ça:

 

http://nsa39.casimages.com/img/2017/11/12/mini_171112043014521571.jpg  http://nsa39.casimages.com/img/2017/11/12/mini_171112043113614250.jpg

 

[:icon4] Le modèle avec PCB noir envoie 5V au lieu de 3,3V sur certaines pins, ce qui pourrait détruire certaines puces (d'après les différents retours cela fonctionne quand-même la plupart du temps, perso je n'ai pas eu de soucis, et il y a un fix pour qui sait souder autre fix plus simple - mon tuto).
Si vous ne voulez pas prendre de risque, le modèle avec PCB vert envoie du 3,3V sur toutes les pins.
Il existe des modèles plus chers dotés de plus de fonctions, mais pour flasher une puce BIOS ceux-ci sont suffisants dans la plupart des cas.

 

Si vous avez un Raspberry Pi, vous pouvez aussi vous en servir pour flasher votre puce BIOS.
Guide en anglais avec photos: me_cleaner on a MSI H110M ECO

 

Une puce BIOS en général ça ressemble à ça:
http://reho.st/preview/self/5c2cd9f581f8852f396803e37d5ecd0f8322ad00.jpg

 

Comme vous le voyez sur l'image, elle est enfichée sur un socket, ce qui rend l'extraction et l'insertion relativement aisées.
Attention au sens, il y a une petite encoche ( le "trou" ) qui sert de détrompeur, mais rien n'empêche physiquement d'insérer la puce dans le mauvais sens.

 

Je vous recommande donc d'acheter une puce BIOS de rechange (sur eBay, elles coûtent en général dans les 2 à 3€), ce n'est en rien obligatoire mais ça vous permettra de garder l'originale intacte, ce qui peut être utile en cas de problème si vous n'avez pas un deuxième PC sous la main pour flasher votre sauvegarde.
Pour savoir quel modèle commander, il suffit de noter la ref gravée sur la puce (pas forcément besoin de l'enlever mais il faut de bons yeux ou un bon APN).
Sur la Z170 Pro Gaming par exemple, c'est une Windond 25Q128FV1Q.

 

Et tant qu'on est dans les achats, vous pouvez prendre ça ou ça, c'est un extracteur pour retirer facilement la puce BIOS, vous pouvez aussi le faire sans mais il faut être très délicat lors de l'extraction, les pins se tordent facilement (elles peuvent toutefois être facilement redressées si elle n'ont pas étés tordues de manière excessive).

 


Sur la plupart des portables, et sur certaines carte-mère de fixes, la puce est soudée, ce qui rend la tâche plus compliquée.
Soit vous dessoudez la puce, soit vous utilisez ce genre de pince (autres vendeurs: 1 2 3 4 5 ou tapez SOIC8 CLIP dans la recherche) qui permet de flasher à même la carte-mère.
D'après les retours ça ne fonctionne pas toujours avec le CH341A malheureusement, mais un Raspberry Pi fonctionne bien à priori:
me_cleaner on a MSI H110M ECO

 


_______________________________________________________________________________________________________

 

Guide d’utilisation du programmeur SPI type CH341A avec Flashrom

 
  • Téléchargez et décompressez cette archive et exécutez Install.cmd, cela va installer le pilote.
  • Insérez la puce dans le connecteur ZIF du programmeur de cette manière: http://reho.st/preview/self/088bba9c6a7f443ff35d09884f505403d8b107c3.png, verrouillez la puce avec le levier, puis branchez-le sur un port USB.
  • Flashrom s'utilise en ligne de commande, commencez par taper flashrom pour vérifier qu'il reconnait la puce et le programmeur.
  • Faire une sauvegarde du contenu de la puce: flashrom -r backup.bin
  • Écrire un fichier sur la puce (flashrom fera automatiquement une vérification): flashrom -w bios.bin


Vous trouverez un guide d'utilisation du programmeur SPI type CH341A avec un autre logiciel que Flashrom ici (ne fonctionne pas bien chez moi) et en page 6 les liens vers Flashrom.


Message édité par mooms le 17-11-2017 à 17:05:54

---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10259536
mooms
Posté le 26-10-2017 à 00:32:15  profilanswer
 

Nettoyage/désactivation du ME

 

Si vous avez un programmeur SPI, seule l'étape 2 vous concerne, l'étape 1 et 3 peuvent être effectuées avec le programmeur externe.

 


1ere étape: sauvegarder le contenu de votre firmware (BIOS+ME) depuis Windows
Il faudra avant tout faire un dump (une sauvegarde) du contenu de votre puce BIOS (le firmware), ça servira à la fois à restaurer le BIOS en cas de problème, mais aussi comme base pour exécuter me_cleaner, qui travaille sur un fichier et non directement sur la puce BIOS.

 
  • Téléchargez cette archive auto-extractible (mirroir), et décompressez-là dans le dossier de votre choix (vous pouvez aussi utiliser WinRAR pour l'ouvrir).
  • Rendez vous dans le dossier correspondant à la version de votre ME (si vous ne la connaissez pas elle est visible dans le BIOS), vous pouvez aussi lire le fichier Versions.txt qui donne les versions par série de chipsets.
  • Allez dans le dossier "Flash Programming Tool" puis dans "WINDOWS" ou "WINDOWS64"
  • Vous y trouverez un exécutable, dans la plupart des versions il se nomme FPTW.exe (32 bits) ou FPTW64.exe (64 bits).
  • Cet utilitaire Intel permet de sauvegarder et de flasher le contenu de votre puce BIOS (le firmware ME est contenu dans le BIOS).
  • Ouvrez une invite de commande en tant qu'administrateur pointant dans ce dossier et tapez FPTW64 -d backup.bin  (adaptez le nom de l'exécutable à votre situation) (si vous ne savez pas comment faire voir ce message)
  • Cela devrait créer une sauvegarde du contenu de votre puce BIOS nommée "backup.bin"


  • Si cela échoue, assurez vous que:

- Vous avez utilisé la version correspondant à votre version de ME.
- Vous avez lancé l'invite de commande en tant qu'administrateur.
- Vous avez les drivers MEI installés, si ce n'est pas le cas vous pouvez les trouver ici (se rendre à la section A1. Intel MEI Driver Only et télécharger l'archive, les pilotes sont à installer depuis le gestionnaire de périphériques)

 

Il se peut que votre BIOS ait certaines régions verrouillées en lecture/écriture, ce qui rend un backup complet depuis le PC impossible, vous obtiendrez alors un backup incomplet et/ou un message d'erreur, dans ce cas il faudra faire le backup avec un programmeur SPI externe, voir le deuxième post qui détaille ça.

 

Méthode alternative: si vous avez une carte mère ASUS, il est possible de transférer vos infos uniques (n° de série, adresse MAC) dans un fichier BIOS "vierge" téléchargé chez ASUS grâce à FD44Editor, voir mon topic sur FTK pour plus de détails. Il faudra utiliser la commande fptW64 -bios -d backup.bin qui sauvegardera la région BIOS uniquement, (c'est celle-ci qui contient les infos uniques transférables dans un BIOS vierge contenant toutes les régions).

 


_______________________________________________________________________________________________________

 


2ème étape: utilisation de me_cleaner sous Windows:

  • Installez Python et téléchargez l'archive me_cleaner.
  • Placez le dump de votre BIOS et me_cleaner.py dans le dossier de votre choix, et ouvrez une invite de commande pointant dans ce dossier.

À partir de là il y a trois possibilités (bios.bin étant le nouveau fichier BIOS à flasher et backup.bin la sauvegarde faite auparavant)

  • Pour nettoyer le ME: me_cleaner.py -O bios.bin backup.bin
  • Pour nettoyer le ME et activer le bit MeAltDisable: me_cleaner.py -O bios.bin -S backup.bin
  • Pour simplement activer le bit MeAltDisable: me_cleaner.py -O bios.bin -s backup.bin


- Suivant votre carte-mère, il se peut que seulement l'option 1, 2, ou 3 fonctionne, ou que l'une fonctionne mieux que l'autre.
- La première est celle proposée par défaut par me_cleaner, la seconde va, en plus du nettoyage, désactiver le ME via la méthode récemment découverte pas les chercheurs, et la troisième va uniquement désactiver le ME sans le nettoyer.
- Chez moi (carte-mère ASUS Z170) la méthode 1 créé un délai de 15 secondes avant le POST, la méthode 2 le rend aussi (si ce n'est plus) rapide que d'origine.
- Si vous avez une carte-mère Gigabyte, la méthode 3 (-s) semble la plus appropriée. Vous pouvez utiliser Efiflash (version modifiée) pour le flash.
- Sur cette page vous trouverez des rapports d'utilisation de me_cleaner, cela peut vous guider pour savoir quelle méthode est la plus appropriée pour votre carte-mère.

 


_______________________________________________________________________________________________________

 


3ème étape: flash du BIOS:
Jusqu'ici il n'y avait aucun risque pour votre machine, mais la dernière étape comporte un certain risque (brick ou bootloop). Ceci-dit un simple flash de votre sauvegarde (ou échange de puce si vous en avez achetée une autre) permettra de revenir à l'état original.

 

Voilà le BIOS est prêt à être flashé, il y a plusieurs méthodes pour cela:

  • Via le programmeur SPI (méthode recommandée, voir guide d'utilisation dans le post précédent)
  • Directement depuis le PC avec FPT: fptw64 -rewrite -f bios.bin (ça ne fonctionnera pas si certaines régions de la puce sont verrouillées)
  • Directement depuis le PC avec les outils du fabricant de la carte-mère, ou encore du fabricant du BIOS (en général AMI ou Award). Il se peut que cela échoue car le BIOS sera reconnu comme modifié, mais il y a des méthodes pour forcer le flash d’un BIOS modifié, que je ne couvrirais pas, mais ici vous trouverez un guide pour les principaux fabricants de CM (en anglais).

Message cité 1 fois
Message édité par mooms le 12-11-2017 à 17:10:29

---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10259541
mooms
Posté le 26-10-2017 à 00:52:08  profilanswer
 

Notes:

 
  • Le premier démarrage peut être très long, ça peut même redémarrer plusieurs fois suivant la carte-mère, il n'y a pas lieu de s'inquiéter.


  • Sur ma carte-mère (ASUS Z170 Pro-Gaming), avec la 1ere méthode j'ai un délai supplémentaire d'une quinzaine de seconde avant le POST, avec la méthode 2 (argument -S) je n'en ai aucun.


  • Vous devrez reconfigurer votre BIOS, car retirer la puce équivaut à un reset CMOS.


  • Sur certaines cartes mères ASUS il y a la possibilité de sauvegarder ses réglages BIOS sur une clé USB formatée en FAT32, pensez à faire la sauvegarde avant le flash, il sera plus simple de restaurer tous les paramètres.


  • Si le ME est désactivé/neutralisé, vous devriez voir 0.0.0.0 ou N/A devant le n° de version du ME dans le BIOS.


  • Vérifiez que toutes les fonctions avancées du BIOS sont bien toujours disponibles, puis démarrez sous votre OS pour en vérifier le bon fonctionnement.


  • Certaines cartes-mères perdent des fonctions avancées comme l'overclocking si le ME est désactivé (ce n'est pas le cas sur ma carte-mère).


  • Le ME est utilisé pour certains DRM et autres sécurités (PVAP, SGX, AMT...), si vous en avez l'utilité il faudra (malheureusement) le conserver.


  • Vous pouvez lire (et rapporter) les résultats de me_cleaner sur cette page, faites une recherche (Ctrl+F) sur le nom de votre carte.


  • Si vous ajoutez l’argument -d à me_cleaner, cela verrouillera le BIOS en lecture et en écriture, il ne sera alors plus possible de le modifier ou de lie lire sans un programmeur externe. Si vous êtes sûr de ne pas avoir besoin de flasher le BIOS de façon interne c'est une bonne mesure de sécurité.


_______________________________________________________________________________________________________
 
Autres possibilités:

 
  • Vous commandez une puce déjà programmée, dans ce cas il suffit de fournir votre fichier BIOS modifié avec me_cleaner.


Un membre du forum, robin42800, propose ses services ici (je lui en ai commandé une et j'ai pu constater qu'il est très sérieux), sinon il y a aussi des tas de boutiques qui le font sur eBay ou ailleurs.
L'avantage de cette méthode c'est que vous n'avez pas à acheter un programmeur SPI, ni à apprendre à vous en servir, et si ça ne marche pas vous remettez simplement votre puce originale. L'inconvénient, c'est que si ça ne marche pas vous ne pourrez pas tester une autre méthode et vous avez acheté une puce pour rien (à moins de commander par la suite un programmeur SPI).

 
  • Vous pouvez mettre à jour les microcodes CPU, les ROM RAID, et autres, contenus dans les images BIOS (et jamais maintenus à jour par les fabricants de CM), avec UBU. Ça suppose un flash du BIOS et peut donc se faire en même temps que le nettoyage/désactivation du ME.



  • Si vous ne voulez ou pouvez pas flasher votre BIOS avec un ME désactivé, il se pourrait qu'utiliser une carte Ethernet ou Wifi additionnelle (non intégrée à la CM et de marque non Intel) soit suffisant pour empêcher le ME de communiquer avec l'extérieur puisque celui-ci n'aurait pas les pilotes pour (à confirmer).


Message édité par mooms le 12-11-2017 à 17:05:33

---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10259558
robin42800
Туманность Ориона
Posté le 26-10-2017 à 02:14:06  profilanswer
 

Salut :)
 
testé a l'instant  
 
pour ma part sur ma z170m-plus la commande marche seulement si je supprimes le "python" devant la ligne :)
 
python me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin = KO
 
 me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin = NICKEL
 
autre petite question, comment être certains que le me est down ?
 
dans le bios c'est écris 0.0.0.0 donc bien down
 
seule problème de mon coté pour le moment, la phase de post est terriblement longue :( entre le moment ou je presse le bouton start et ou j'ai l'image Asus il il y a bien 25 secondes avec tout a fond dans la machine, toi aussi tu as ça ?
 
C'est un peu génant (pour ma part ) mais si c'est le prix pour supprimer ce "mouchard" alors pourquoi pas  :lol:  reste a faire la même chose pour nos smartphones

Message cité 1 fois
Message édité par robin42800 le 26-10-2017 à 02:51:21

---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10259565
mooms
Posté le 26-10-2017 à 02:52:38  profilanswer
 

robin42800 a écrit :

Salut :)
 
testé a l'instant  
 
pour ma part sur ma z170m-plus la commande marche seulement si je supprimes le "python" devant la ligne :)
 
python me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin = KO
 
 me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin = NICKEL


 
Hello  :)  
J'avais ajouté python dans le PATH, donc ça marchait avec python devant, mais si ça marche sans, c'est encore mieux !
 
 

robin42800 a écrit :

Salut :)
seule problème de mon coté pour le moment, la phase de post est terriblement longue :( entre le moment ou je presse le bouton start et ou j'ai l'image Asus il il y a bien 20 secondes avec tout a fond dans la machine, toi aussi tu as ça ?


 
Alors oui j'ai un délai supplémentaire (environ 10 secondes) avant le POST, mais pas de ventilos tout à fond par contre.
Je devrais aussi préciser que le premier démarrage peut être très long, tu as essayé un autre démarrage depuis ?
 
Autrement, essaie la commande avec le -s minuscule, ça sera peut-être plus rapide.
Je n'ai pas encore reçu le programmeur SPI donc je ne peux pas tester les autres méthodes (ni faire un guide pour l’utilisation), mais ça viendra.


Message édité par mooms le 26-10-2017 à 02:57:14

---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10259566
robin42800
Туманность Ориона
Posté le 26-10-2017 à 02:55:52  profilanswer
 

oui le premier boot est long mais ça ma fois c'est pas bien grave :)
 
je vais tester avec le -s
 
je dois aussi préciser que le ch341a a ces limites
 
-par exemple les puces stt/st et quelque d'autre sont lisible mais malheureusement pas programmable  (ces puces restent assez rare heureusement, mais parfois présentes)
 
-Sur msi en 1155/1150... il est impossible de read le bios sur un ch341a ou truc du genre du fait du câblage bien particulier .
 
Sinon, je peux que m'incliner devant le tuto :) qui comme j'aime va a l'encontre des techniques répugnantes des grands de l'ouest  ;)


Message édité par robin42800 le 26-10-2017 à 02:58:41

---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10259568
mooms
Posté le 26-10-2017 à 02:59:16  profilanswer
 

Merci ça fait plaisir !
 
Vu que tu t'y connais mieux que moi en flashage de puce BIOS, n'hésite pas à rajouter des infos ici, je les mettrai dans le 1er (ou second) post.
 
Donc déjà, les MSI c'est out avec le CH341A, est-ce que c'est le cas pour d'autres fabricants ?


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10259570
robin42800
Туманность Ориона
Posté le 26-10-2017 à 03:02:13  profilanswer
 

je ne dirais pas que je m'y connais mieu ! c'est l’expérience et des nuits de recherches qui m'ont fait trouver les problèmes et les solutions, comme toi je pense :D
 
Je soupçonne Gigabyte de stocké des informations sur une puce externe, (le me ????)    sur pas mal de mobale gigabyte, en plus des deux puces bios une troisième est présente...  a ce jour je ne me suis pas encore penché sur la question.. une chose est certaines vu la taille de la puce c'est pas simplement pour stocké les mot de passes bios...
 
ch341a et pas seulement malheureusement, ne passent pas sur 1155/1150/1156 msi, en revanche en 1151/am4 j'ai pu testé et ça passe


Message édité par robin42800 le 26-10-2017 à 03:03:55

---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10259572
mooms
Posté le 26-10-2017 à 03:05:56  profilanswer
 

Ah si si, mon expérience avec les programmeurs SPI est encore théorique à ce jour, et lorsque j'aurais reçu le mien elle se bornera (tout du moins au début) à ma carte mère, une ASUS Z170, donc oui, tu es bien plus expérimenté que moi, c'est certain !  :jap:  
 
Je savais que GigaByte a des modèles Dual BIOS (par contre j’ignorais pour la puce externe).
Je vais rajouter un note pour les MSI et leur incompatibilité avec le CH341A. Tu es un modèle de remplacement pas trop cher à conseiller ?


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
mood
Publicité
Posté le 26-10-2017 à 03:05:56  profilanswer
 

n°10259574
robin42800
Туманность Ориона
Posté le 26-10-2017 à 03:08:45  profilanswer
 

malheureusement non, sur ces mobales il faut un truc plus pro.. pour ma part c'est celui du boulot, un truc  don't j'ignore encore le prix


---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10259576
mooms
Posté le 26-10-2017 à 03:14:56  profilanswer
 

OK, tant-pis, quelqu'un aura peut-être un modèle à proposer.


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10259704
zonka
x58 forever!
Posté le 26-10-2017 à 09:53:29  profilanswer
 

Han!
 
Merci pour l'info...Une diablerie de plus!
 
10 PC fonctionnels et utilisés à la maison (si, si)......avec des BIOS parfois modifiés etc...Bon, vais voir :(


---------------
Feedback - Guide d'achat de config
n°10260118
mooms
Posté le 26-10-2017 à 15:35:20  profilanswer
 

10 PC ça vaut largement le coup d'investir dans un programmeur SPI.


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10260426
dj smelz
Posté le 26-10-2017 à 20:34:52  profilanswer
 

wtf !
merci pour l'info

n°10260512
lezioul
J'ai pas accroché, j'ai rippé
Posté le 26-10-2017 à 21:46:15  profilanswer
 

Drap


---------------
hfr-rehost@chrome
n°10260556
drynek
Posté le 26-10-2017 à 22:15:58  profilanswer
 

Drap de chez drap  :o  
Méchant taf quoi chapeau  [:implosion du tibia]  
Va falloir que je me penche sur la question, et puis c'est plus une backdoor c'est un putain de portail double battant pour le coup  :ouch:  


---------------
"Toute voiture restant en un morceau pendant plus d'une course est trop lourde"  
n°10260602
F117
Posté le 26-10-2017 à 22:49:01  profilanswer
 

Soit les cartes mères x99 ne sont pas concernées soit y a un truc qui va pas  
 
http://reho.st/medium/self/20e27cd6401b701e3a2b2218357d5226cb484428.jpg
 
Car j'ai juste lancé le diagnostic de Intel si c'est le bon
 
http://reho.st/medium/self/d18bd5938b3c4677ff75af168cde2f925db00566.jpg


Message édité par F117 le 26-10-2017 à 23:00:31
n°10260644
mooms
Posté le 26-10-2017 à 23:26:52  profilanswer
 

@drynek : Merci  :)

 

@F117: Là tu parles de la faille d'il y a 6 mois, d'autres existent, et surtout ton ME est actif, le sujet du topic c'est de le désactiver. Si tu ne le souhaites pas tu peux toutefois le mettre à jour en espérant que de nouvelles failles ne soit pas découvertes (et en sachant que Intel et cie ont le contrôle de toute manière) , voir le 3ème post.


Message édité par mooms le 26-10-2017 à 23:30:35

---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10260650
F117
Posté le 26-10-2017 à 23:37:41  profilanswer
 

Si justement je souhaite le désactiver
 
Je voulais savoir si le diagnostic Intel était vraiment fiable
 
Ce qui a pas l'air être le cas

n°10260698
mooms
Posté le 27-10-2017 à 00:30:12  profilanswer
 

Je suppose qu'il est fiable pour cette faille en particulier, mais le problème du ME reste entier.


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10260728
mooms
Posté le 27-10-2017 à 01:25:26  profilanswer
 

J'ai revu le guide, j'ai notamment ajouté une archive avec des outils Intel permettant le backup (et le flash) du BIOS qui devrait fonctionner sur à peu près toutes les cartes mères pour peu que le BIOS ne soit pas verrouillé.


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10260790
Chib@X
Powered By Devil's Canyon
Posté le 27-10-2017 à 08:04:01  profilanswer
 

Merci Miles, je vais m'occuper de ça sur ma plateforme dès que j'aurai un peu de temps, j'espère juste que cela fonctionnera du premier coup :D. En tout cas merci pour l'info, c'est quand même des en*****, même si nous sommes des utilisateurs LAMBDA, toutes ces stupidités de télémétries et portes ouvertes sur nos PC sans que cela soit vraiment communiqué, me déplaisent vachement..
++


Message édité par Chib@X le 27-10-2017 à 08:29:00

---------------
I7 4790K - Z97 Gaming III -  16Go DDR3 CL8 Ballistix Tactical - GTX 1070 FE - 2*525Go Crucial SSD - 1To/4To WD - Be Quiet! Silent Base 800 Window - Acer Predator Z271 - Atlas Spectrum - G400S
n°10260815
drynek
Posté le 27-10-2017 à 08:37:43  profilanswer
 

Par contre un point soulevé me taraude, tu dit a priori que passé par une carte tier pourrais empêcher ME de fonctionner, OK sur le principe mais si il s'agit bien d'un OS dans l'OS qu'est ce qui empêche ME d'aller chercher le pilote tout seul dans ce cas ?
Sinon je suis tranquille je passe par une clé wifi par exemple sur ma tour donc en USB non alimenté déjà ordi éteint ça limite grandement déjà  


---------------
"Toute voiture restant en un morceau pendant plus d'une course est trop lourde"  
n°10261556
mooms
Posté le 27-10-2017 à 18:07:30  profilanswer
 

Justement, il ne peut pas aller chercher le pilote puisque il ne peut pas communiquer avec l'extérieur (à moins qu'il n'existe une sorte de pilote réseau universel).
Lorsque le PC est "éteint" (en fait dans une veille profonde), quasiment tous les périphériques le sont aussi, mais pas la carte réseau, on peut d'ailleurs voir les diodes qui restent allumées en général.
Le ME peut évidemment l’allumer pour accéder aux disques par exemple, s'il en reçoit l'ordre, mais si il ne sait pas communiquer avec la carte réseau il ne peut pas recevoir cet ordre.


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10261620
drynek
Posté le 27-10-2017 à 19:16:52  profilanswer
 

donc je suis pas tellement emmerder avec ce truc de une mon bios est configuré pour coupé les usb à l'extinction (testé en effet ils sont pas alimenté ) et j'ai coupé le démarrage rapide aussi dans le doute c'était déjà fait
après la meilleur sécu c'est la prise électrique  :lol:  
mais je vais quand même essayé de voir si je peut virer ce truc pour le principe comme le reste (tous les accés distant dans le registre sont OFF et d'autres trucs)
 
 


---------------
"Toute voiture restant en un morceau pendant plus d'une course est trop lourde"  
n°10261641
mooms
Posté le 27-10-2017 à 19:42:15  profilanswer
 

Pour les cartes MSI qui ont la puce BIOS soudée, on peut la flasher à même la CM avec un Raspberry Pi et le genre de pinces dont j'ai parlé.
Guide en anglais avec photos:
me_cleaner on a MSI H110M ECO


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10261660
mooms
Posté le 27-10-2017 à 20:09:15  profilanswer
 

Cela semble aussi faisable pour les Mac, exemple avec un MacBook Pro 13 pouces de 2011:
https://github.com/corna/me_cleaner/issues/76


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10269190
mooms
Posté le 06-11-2017 à 17:50:37  profilanswer
 

J'ai reçu mon programmeur SPI aujourd'hui, du coup j'ai pu flasher à nouveau, cette fois avec le paramètre -S, et je n'ai plus le délai de 15 secondes avant le POST que j'avais avec le simple nettoyage.


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10269194
robin42800
Туманность Ориона
Posté le 06-11-2017 à 17:51:59  profilanswer
 

[:muse] je m’empresse de tester ;D

Message cité 1 fois
Message édité par robin42800 le 06-11-2017 à 17:52:29

---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10269208
mooms
Posté le 06-11-2017 à 18:13:49  profilanswer
 

Guide d’utilisation du programmeur SPI avec Flashrom
 

  • Téléchargez et décompressez cette archive et exécutez Flashrom.cmd.
  • Insérez la puce dans le connecteur ZIF du programmeur de cette manière: http://reho.st/preview/self/088bba9c6a7f443ff35d09884f505403d8b107c3.png puis branchez-le sur un port USB
  • Flashrom s'utilise en ligne de commande, commencez par taper flashrom pour vérifier qu'il reconnait la puce et le programmeur
  • Lire le contenu de la puce: flashrom -r backup.bin
  • Écrire un fichier BIOS sur la puce: (flashrom fera automatiquement une vérification) flashrom -w bios.bin


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10269210
mooms
Posté le 06-11-2017 à 18:14:33  profilanswer
 

robin42800 a écrit :

[:muse] je m’empresse de tester ;D


 
Tiens-nous au jus  :jap:


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10269218
robin42800
Туманность Ориона
Posté le 06-11-2017 à 18:20:10  profilanswer
 

j'y arrive pas :(
 
j'ai le mssages "me_cleaner.py: error: unrecognized arguments: dump-de-votre-bios.bin
 
par contre avec la commande : me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin  
 
tout roule  
 
:(


---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10269221
mooms
Posté le 06-11-2017 à 18:29:14  profilanswer
 

Ah oui il y avait une erreur dans le tuto  [:criquet geant]  
J'ai corrigé ça.

  • Placez le dump de votre BIOS et me_cleaner.py dans le dossier de votre choix, et ouvrez une invite de commande pointant dans ce dossier.

À partir de là il y a trois possibilités (bios.bin étant le nouveau fichier BIOS à flasher et backup.bin la sauvegarde faite auparavant)

  • Pour nettoyer le ME: me_cleaner.py -O bios.bin backup.bin
  • Pour nettoyer le ME et activer le bit MeAltDisable: me_cleaner.py -O bios.bin -S backup.bin
  • Pour simplement activer le bit MeAltDisable: me_cleaner.py -O bios.bin -s backup.bin


Message édité par mooms le 06-11-2017 à 18:34:32

---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10269224
robin42800
Туманность Ориона
Posté le 06-11-2017 à 18:35:29  profilanswer
 

super !!!!!!!! je le programme et reviens  
 
merci beaucoup


---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10269225
Franchies
Let's do this.
Posté le 06-11-2017 à 18:37:07  profilanswer
 

Bonjour, si je comprends bien, à partir du moment où l'on débranche le câble réseau par exemple, il n'y a plus de problèmes, si pas de Wi-Fi ?


---------------
Profil HWBOT i7 4790k @4.6Ghz/1.225V - MSI Z87-G45 - G.Skill TridentX - F3-2400C10D-16GTX - Zotac GeForce GTX 1070 AMP Edition
n°10269228
mooms
Posté le 06-11-2017 à 18:41:01  profilanswer
 

Franchies a écrit :

Bonjour, si je comprends bien, à partir du moment où l'on débranche le câble réseau par exemple, il n'y a plus de problèmes, si pas de Wi-Fi ?


 
Bah c'est sûr que si le PC n'est pas connecté il y a peu de chances qu'il puisse discuter avec l'extérieur  :o  


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10269232
mooms
Posté le 06-11-2017 à 18:42:36  profilanswer
 

D'après Wootever le programmateur SPI avec le PCB noir est mal conçu et envoie du 5V là ou il devrait envoyer du 3,3V.
 
Perso j'ai pu l'utiliser sans souci mais il semblerait qu'il y ait un risque de cramer certaines puces.  
Il y a un fix pour qui sait souder, sinon le mieux c'est de commander le modèle avec un PCB vert qui lui n'a pas ce souci.
 
Du coup je l'ai commandé, ça m'en fera deux.  :o  
 
 
Trouvé un guide Linux très complet: https://wiki.gentoo.org/wiki/Sakaki [...] ent_Engine


---------------
le livre de vie | Désactiver Intel ME (la super backdoor)
n°10269240
robin42800
Туманность Ориона
Posté le 06-11-2017 à 18:45:04  profilanswer
 

testé a l'instant, rien a dire ! bravo, intel me sur 00.00.00.00
 
et la carte boot limite plus rapidement qu'avant !
 
BRAVO


Message édité par robin42800 le 06-11-2017 à 18:45:13

---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
n°10269243
robin42800
Туманность Ориона
Posté le 06-11-2017 à 18:49:07  profilanswer
 

je vais recevoir des modèles msi, je testerais le le bios sans me, et reviens t'en dire plus :)


Message édité par robin42800 le 06-11-2017 à 18:49:21

---------------
ACHÈTE VOS CARTES MÈRES HS, C'EST ICI : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Hardware
  Carte mère

  Cartes mères avec CPU Intel: désactiver Intel ME (la super backdoor)

 

Sujets relatifs
Reconnaissance HDD par differentes cartes controleurClevo P751ZM quel CPU opti (i7)
CPU ou WatercoolingConseils upgrade Carte graphique pour Intel dual core (E6750)
Intel ou Amd ???[Topic Unique] Intel Ice Lake et Tiger Lake (2018-2019 10nm)
[CHAUFFE] CPU fx-8150Problème CPU
Changement de CPU ![RESOLU] Multiple BSOD. Impossible de booter tout OS
Plus de sujets relatifs à : Cartes mères avec CPU Intel: désactiver Intel ME (la super backdoor)



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR