Reprise du message précédent :
Je reposte ça ici:

Intéressant. On a un peu plus d'info dans le white paper: https://www.welivesecurity.com/wp-c [...] -LoJax.pdf

En gros, le malware (qui est un cheval de Troie qui s'installe via une version crackée d'un programme de sécurité nommé Lojack, douce ironie) arrive dans certains cas (BIOS non protégé en écriture) à flasher le firmware SPI (la puce BIOS) pour y insérer un programme, qui va rechercher au démarrage une partition FAT32/NTFS pour y insérer son payload qui va télécharger un programme permettant la prise de contrôle à distance. Ça à plutôt l'air de concerner les laptops.
Si le votre a ce genre de feature dans le BIOS il est peut-être vulnérable:
https://reho.st/self/c1684d7c9c3ede [...] e6972c.png

Vu que c'est dans le BIOS, ça résiste à un formatage.
La seule solution pour s'en débarrasser c'est de flasher le BIOS, si possible avec un programmateur SPI pour être certain de s'en être débarrassé.

sacré monde de fou quand même ...
 
pendant ce temps la, ici en Sibérie je voit de plus en plus gens faire les poubelles pour manger ...  
 
c'est dépitant ce monde ...

J'ai un truc dans ce gout là (computrace) sur mon vieux laptop HP en C2D, que j'ai désactivé il y a bien longtemps vu les risques.

Ouais...
Ceci-dit j'en ai déjà vu en France aussi, même si il y en a sans-doute bien moins..

Rapport avec IME/Computrace ?  

ouais les gouvernements finances des trucs a des milliards mais les citoyens mangent la table pendant ce temps ...

Pour être régulièrement sur un site russe de programmes tipiak, j'ai eu 2 alertes avec eset justement depuis environ 1 mois...
Peut être sans rapport mais ça devient chaud patate.

Entre facebook/google, les spywares applicatifs, la "télémétrie" des OS, les backdoors dans les bios/firmware et celles intégrées au hardware, ça devient franchement compliqué d'avoir confiance en sa machine.
Va falloir surfer dans un snapshot de machine virtuelle linux (et encore, pas n'importe quelle distribution) isolée de son hôte, connectée à l'extérieur via VPN et détruite après chaque usage...

+1 (via proxy perso)

Ajout de la technique du pinmod pour flasher une puce aux régions verrouillées.

J'envisage de remplacer mon vaillant Core i7 Haswell par un surpuissant i7 de dernière génération ou bien un Ryzen 3 (quand ça sortira).
Si on ne veut pas de backdoor matérielle, vaut-il mieux un i7 8700K ou un 9700K ? Il y en a qui ont réussi à passer le me_cleaner sur du 8700K mais je ne sais pas sur le 9700K.
Ou un Ryzen 3 mais il y a l'AMD PSP. Pas de possibilité de le désactiver mais c'est supposé être capable de moins de choses que l'Intel ME (mais quoi en moins ?).

Aucune idée concernant les Rysen 3, en tout cas je n'ai pas vu de specs à ce sujet. Peut-être que d'autres membres plus au courant pourront répondre.
 
Par contre sur plateforme Intel, il faut relativiser le problème de backdoor du ME : C'est une vraie passoire de partout, il y a 4 jour une équipe vient de mettre en évidence une nouvelle faille (Spoiler) dans les CPU. C'est à ce demander si cela vaut le coup de se faire ch.. à patcher les ME quand on voit qu'il y en a d'autres dans tous les coins.

Peut-être que j'ai tort mais je fais une distinction entre la backdoor ME et une faille. Si le ME est actif, on peut être attaqué juste en allumant son PC et on ne peut rien y faire (à part le désactiver avec le me_cleaner). Alors que pour une faille il faut quand même aller sur un site ou un programme louche, et je fais ça avec une VM dans VirtualBox. Est-ce que la faille CPU serait capable d'atteindre mon host VirtualBox ?

Si l'IME est opérationnel, même sans allumer ton ordi, du moment que la carte mère est sous tension (ce qui est généralement le cas même ordi éteint) il y a vulnérabilité.
Pour les failles Spectre, Meltdown, et maintenant Spoiler, cela se passe dans le CPU lorsqu'il est en fonction, à un très bas niveau hardware. Donc tout logiciel est potentiellement vulnérable à travers cela. Même une machine virtuelle, et ce qui se passe dans la VM. Toutes les informations qui passent par le CPU ou la RAM, en gros.
 
Je suis d'accord avec toi sur la différentiation entre backdoor et faille.
Le truc est de savoir si une faille ne serait pas intentionnelle, car dans ce cas c'est une backdoor.
Par exemple on profite d'une faille dans le système de backdoor du IME afin de le patcher. Ca c'est vraiment une faille dans l'histoire. Mais le système caché dans l'IME est clairement une backdoor, ce n'est pas une faille.

C'est de la sémantique. Du point de vue de l'utilisateur, le ME est une faille puisqu'il permet un accès complet, non autorisé et surtout non désactivable à son système par une entité dont les intentions sont néfastes.  
Si tu penses que nos copains outre-atlantique ne se servent pas du ME (ou de toutes les backdoor implémentées dans tous les OS et hard américain) pour faire de l'espionnage industriel, scientifique et économique, tu rêves.

Pratique qu'ils aient un quasi-monopole... (En plus AMD a un backdoor aussi)

Parce que sans ça du matos aussi peu sécurisé c'est hors de question pour moi..

Et la différence faille backdoor est mince. Un backdoor c'est quand seul le concepteur de la faille connait la faille. Dès que c'est éventé, ça devient open bar

+1 C'est de la sémantique.
Une backdoor est une faille intentionnelle.
Une faille est une backdoor non intentionnelle.
Quelque chose dans le genre..

Une faille c'est parfois un euphémisme pour désigner une backdoor.

Et si on installe pas les drivers (chipset) de la CM, le bousin s'installe quand même ou pas ?

C'est au niveau matériel, pour résumer et en simplifiant; il y a un mini ordinateur complet dans le chipset/CPU qui, dès que la carte mère est sous tension (même si elle n'est pas "démarrée" ) fonctionne et a accès à une grande partie des composants.
Donc installer ou non les drivers du chipset ne changera pas grand chose, si l'idée est de le bloquer.
En les installant cela peut juste donner plus d'accès à ce fantôme dans le système, lorsque la machine principale est en fonction (V-Pro, AMT, etc.).
Le truc c'est que si on n'installe pas de drivers pour le chipset, je ne vois pas comment l'OS va pouvoir avoir accès à l'ensemble des périphériques. Car même sans installer les drivers spécifiques au chipset, en général l'OS installe les siens, même s'ils ne sont pas forcément optimisés ou s'ils sont simplifiés (Windows le fait systématiquement lors de l'installation par exemple).

Je vois que ça a l'air d'être bien compliqué à enlever, je vais pas m'y risquer
 
Surtout que ça doit être qu'un truc en plus parmi un paquet d'autres, j'imagine bien des micro chip dans les téléphones qui peuvent te géoloc et enregistrer tes conversations à tout moment, la même chose dans les routeurs des FAI, etc...

Perso je suis pour atténuer les risques au maximum, surtout si ça implique l'utilisation d'une solution éprouvée et simple à mettre en œuvre.

Si la puce est non-soudée et qu'on dispose d'une tiers machine pour flasher, le risque tombe pratiquement à zéro (en cas de flash raté... suffit de reflasher l'ancien BIOS).

Edith : J'utilise une machine sous AM2+ (CPU Athlon x2 270U, du Regor donc), on a quoi là dessus ? Le PSP c'est du post-2013 apparemment, donc bien ultérieur à ce que j'utilise (~2010 pour mon CPU).

Ce n'est pas si compliqué si on s’investit un peu, je pense que mon tuto est assez clair.

 
Répond, M-deux-O-M  

?

Je veux savoir si mes vieux AMD sont backdoorés, mais je n'ai pas tes connaissances dans le game de la NSA chinoise lô

Je ne suis pas un expert de ce genre de backdoors tu sais, à la base j'ai créé ce topic car j'étais tombé sur des articles sur le ME et surtout sur me_cleaner, et que j'avais envie de partager cela.
 
Je ne connais pas du tout ce qui se fait (ou s'est fait) chez AMD, mon dernier AMD était un Athlon X2 4200+, ça commence à dater.

 
Sinon, je l'ai déjà dit, et je le répète: sans blob binaire, le CPU ne démarrera pas.
A partir de Nehalem, me_cleaner ne supprime qu'une partie des modules.
Avec l'absence de mise à jour du microcode pour les CPU avant Sandy Bridge corrigeant les failles liées à l'éxécution spéculative et tout le reste, la boucle est bouclée ...

me_cleaner supprime quand-même une grande partie, et puis tu a aussi le bit MeAltDisable qui met le ME dans un mode spécial où tout porte à croire qu'il est réellement désactivé.
 
De toute façon, sur du matos et des logiciels fabriqués par une puissance étrangère, il y a de fortes chances qu'il y ait des backdoors, et ça ne concerne pas que les CPU et carte-mères...
 
Si c'est vraiment gênant, le mieux reste encore de ne pas mettre la machine sur le réseau.

J'ai récupéré un petit portable avec ce genre de puce :
http://www.bios-chip24.com/epages/ [...] D=60893072
 
C'est du wson-8, impossible d'utiliser une pince soic-8. Pour flasher le bios, il faut obligatoirement passer par le fer à souder ? Ca me paraît tellement petit et difficile à ressouder exactement au même endroit.
 
Mais de toutes façon avec l'outil SA-00086, Intel ME est affiché en version "Unknown" et SVN 0. C'est un Atom x5-z8350. Donc ça veut dire qu'il n'y a pas d'Intel ME sur les petits processeurs Atom ?

 
Impossible avec un fer à souder, le plan de masse central qui sert à la dissipation thermique est soudé aussi et totalement inacessible. Il te faut impérativement une station à air chaud pour travailler sur ce type de composants. Quant au placement exact, la tension de surface fait le boulot.

Nouvelle faille en approche chez Intel:lol:  
 

 
Correctif en cours.  

Tu parles de ça?
https://mdsattacks.com/
https://software.intel.com/security [...] a-sampling
https://news.ycombinator.com/item?id=19911277
https://portal.msrc.microsoft.com/e [...] /ADV190013
https://www.chromium.org/Home/chromium-security/mds

Ça m'a plutôt l'air d'être lié au CPU et non au Management Engine, mais je n'ai pas encore tout lu.

Non je crois pas..
 
Cette fois c'est zombieload. Encore un nom a la con pour une faille de plus
 
C'est de pire en pire. A chaque correctif des perf en moins. A force va falloir choisir entre protéger ces mot de passes ou avoir un cpu toutes puissance..  

zombieload est une des 4 vulnérabilités mds.

https://www.zdnet.com/article/intel [...] el-attack/

Oui tu as raison, encore de quoi faire regretter de ne pas avoir pris du AMD....

Autres ressources:
https://cpu.fail/
https://news.ycombinator.com/item?id=19911715
https://news.ycombinator.com/item?id=19911341

Articles Intel avec PDF des CPU affectés et prochains microcodes:
https://www.intel.com/content/www/u [...] 00233.html
https://www.intel.com/content/www/u [...] dware.html

 
 
je me dit exactement la même chose    

La seule façon de réellement se protéger est de désactiver l'HT, Apple annonce -40% de perf  !
 
Comme je l'ai lu sur HN, avec ces nouvelles failles et celles de l'année dernière, on a bien dû perdre deux générations de CPU, voire trois niveau performances.
 
Bon après il faut relativiser: le risque principal pour un particulier qui n'exécute pas n'importe-quoi sur son PC ( sinon le problème n'est pas vraiment ces failles) c'est le Javascript dans les navigateurs.
Bloquer le Javascript tiers est déjà une bonne habitude, d'autant que la plupart des sites fonctionnent toujours (ou alors il suffit d'autoriser un second domaine).
 
 
Au moment où j'ai changé pour un 6700k, il n'y avait pas eu tous ces problèmes, et AMD n'était pas encore revenu aussi fort, mais avec Ryzen 2 qui ne va plus tarder, il ne va vraiment rien rester à Intel.
 

Il y a quand même un paquet de site web qui utilisent du JQuery en externe, ou un autre framework du même genre à base de JS (plus de 95% utilisent du JS). Bonjour la galère s'il faut définir un par un tous les emplacements externes dans une white list. Et faut-il encore pouvoir le faire, tous les navigateurs ne le permettent pas.

uBlock Origin, à peu-près dispo sur tous les navigateurs, permet cela assez aisément.

Oui, sous forme de plugin. Mais pas natif au navigateur, ni super user friendly avec uBlock.
Et surtout pff.. Fastidieux travail de référencement.