Intel Management Engine: désactiver la backdoor sur votre carte-mère - Carte mère - Hardware
Marsh Posté le 26-10-2017 à 00:32:07
MATÉRIEL
Cette partie n'est pas obligatoire, mais je recommande l'achat d'un programmeur SPI externe, et d'une puce BIOS de rechange pour pouvoir effectuer le flash en toute sécurité.
Cela vous coûtera entre 5 à 10€ pour le tout.
Notez que ce programmeur vous permettra de "sauver" une carte-mère après un flash de BIOS raté.
On trouve des programmeurs SPI USB sur eBay et Aliexpress à moins de 5€ (livré depuis la Chine).
Si vous le voulez rapidement, il y a en a un sur Amazon pour 8€.
Si le lien est mort, tapez CH341A dans la recherche eBay, Aliexpress, Amazon, etc...préférez le modèle vert/bleu.
Ça ressemble à ça:
Le modèle avec PCB noir envoie du 5V au lieu de 3,3V sur certaines pins, ce qui pourrait abîmer certaines puces (d'après les différents retours cela fonctionne quand-même la plupart du temps, perso je n'ai pas eu de soucis, voir ce tutoriel pour le modifier).
Si vous ne voulez pas prendre de risque ni le modifier vous-même, le modèle avec PCB vert envoie du 3,3V sur toutes les pins.
Il existe des modèles plus chers dotés de plus de fonctions, mais pour flasher une puce BIOS ceux-ci sont suffisants.
Si vous avez un Raspberry Pi, vous pouvez aussi vous en servir pour flasher votre puce BIOS.
Guide en anglais avec photos: me_cleaner on a MSI H110M ECO
Une puce BIOS ressemble en général à ça :
Comme vous le voyez sur l'image, celle-ci est enfichée sur un socket, ce qui rend l'extraction et l'insertion relativement aisées.
Attention au sens, il y a une petite encoche qui sert de détrompeur, mais rien n'empêche physiquement d'insérer la puce dans le mauvais sens.
Je vous recommande donc d'acheter une puce BIOS de rechange (sur eBay, elles coûtent en général dans les 2 à 3€), ce n'est en rien obligatoire mais ça vous permettra de garder l'originale intacte, ce qui peut être utile en cas de problème si vous n'avez pas un deuxième PC sous la main pour flasher votre sauvegarde.
Pour savoir quel modèle commander, il suffit de noter la ref gravée sur la puce (pas forcément besoin de l'enlever mais il faut de bons yeux ou un bon APN).
Sur la Z170 Pro Gaming par exemple, c'est une Windond 25Q128FVIQ.
Vendeur en France: https://www.ebay.fr/str/fractal2015
Et tant qu'on est dans les achats, vous pouvez prendre ceci (tapez Chip Extractor si le lien est mort), c'est un extracteur pour retirer facilement la puce BIOS, vous pouvez tout à fait faire sans mais il faut être très délicat lors de l'extraction, les pins se tordant très facilement si vous exercez trop de force (elles peuvent toutefois être redressées si elles n'ont pas étés tordues de manière excessive).
Sur la plupart des PC portables, et sur certaines carte-mère de PC fixes (notamment chez MSI), la puce est soudée, ce qui rend la tâche plus compliquée.
Elle ressemble alors à ça:
Soit vous dessoudez la puce, soit vous utilisez ce genre de pince: Aliexpress / eBay (tapez SOIC8 CLIP dans la recherche si le lien est mort) qui permet de flasher à même la carte-mère:
D'après les retours ça ne fonctionne pas sur toutes les cartes-mères, si c'est votre cas il faudra alors la dessouder pour pouvoir la flasher, ou bien tenter de flasher avec la carte-mère sous tension (mais ce n'est pas sans risques).
_______________________________________________________________________________________________________
GUIDE D’UTILISATION DU PROGRAMMEUR SPI TYPE CH341A AVEC FLASHROM SOUS WINDOWS
Flashrom est un utilitaire Linux, mais il existe des versions pour Windows.
Malgré qu'il soit en ligne de commande, il est très simple à utiliser, et il reconnait automatiquement le type de puce inséré dans le programmeur.
flashrom |
pour vérifier qu'il reconnait la puce et le programmeur.
flashrom -r backup.bin |
flashrom -w bios.bin |
Vous pouvez aussi lancer le fichier flashrom.cmd, qui permet de n'avoir à taper que le nom du fichier à lire ou à écrire.
Si Flashrom ne fonctionne pas sur votre machine, ou si vous préférez utiliser un outil avec une interface graphique, voyez le guide suivant:
_______________________________________________________________________________________________________
GUIDE D’UTILISATION DU PROGRAMMEUR SPI TYPE CH341A AVEC ASPROGRAMMER SOUS WINDOWS
.
Si on veut passer de Flashrom à ASProgrammer, il faut bien désinstaller les pilotes USB utilisés par Flashrom si on a utilisé celui-ci auparavant (et vice-versa il faut retirer ceux installés pour ASProgrammer si on veux utiliser Flashrom).
Lors de la désinstallation (clic-droit sur le périphérique => désinstaller), bien cocher cette case:
.
Vous trouverez un guide d'utilisation du programmeur SPI type CH341A avec un autre logiciel Windows (CH341A Programmer) ici (ne fonctionne pas bien chez moi) et en page 6 les liens vers Flashrom.
Guide très détaillé sur l'utilisation du CH341A(en anglais):
Vous pouvez aussi utiliser Linux, beaucoup de distribution fournissent Flashrom.
Marsh Posté le 26-10-2017 à 00:32:15
NETTOYAGE/DÉSACTIVATION DU ME
Si vous avez un programmeur SPI, seule l'étape 2 vous concerne, les étapes 1 et 3 peuvent être effectuées avec le programmeur externe.
Si vous effectuez le dump avec un programmeur SPI, faites-le au moins deux fois et comparez les fichiers pour vous assurer qu'ils sont identiques, ainsi vous serez certains d'avoir un fichier de départ correct.
Pareillement, lorsque vous effectuez un flash (écriture), faites une vérification du contenu.
1ere étape: sauvegarder le contenu de votre firmware (BIOS+ME) depuis Windows
Il faudra avant tout faire un dump (une sauvegarde) du contenu de votre puce BIOS (le firmware), ça servira à la fois à restaurer le BIOS en cas de problème, mais aussi comme base pour exécuter me_cleaner, qui travaille sur un fichier et non directement sur la puce BIOS.
FPTW64 -d backup.bin |
(adaptez le nom de l'exécutable à votre situation) (si vous ne savez pas comment faire voir ce message)
- Vous avez utilisé la version correspondant à votre version de ME.
- Vous avez lancé l'invite de commande en tant qu'administrateur.
- Vous avez les drivers MEI installés, si ce n'est pas le cas vous pouvez les trouver ici (se rendre à la section A1. Intel MEI Driver Only et télécharger l'archive, les pilotes sont à installer depuis le gestionnaire de périphériques)
Il se peut que votre BIOS ait certaines régions verrouillées en lecture/écriture, ce qui rend un backup complet depuis le PC impossible, vous obtiendrez alors un backup incomplet et/ou un message d'erreur, dans ce cas il faudra utiliser la technique du pinmod ou faire le backup avec un programmeur SPI externe, voir le deuxième post qui détaille ça.
Un guide en anglais qui couvre tout cela: Neutralizing Intel ME via internal flashing with Intel FPT
Méthode alternative: si vous avez une carte mère ASUS, il est possible de transférer vos infos uniques (n° de série, adresse MAC) dans un fichier BIOS "vierge" téléchargé chez ASUS grâce à FD44Editor, voir mon topic sur FTK pour plus de détails. Il faudra utiliser la commande
fptW64 -bios -d backup.bin |
qui sauvegardera la région BIOS uniquement, (c'est celle-ci qui contient les infos uniques transférables dans un BIOS vierge contenant toutes les régions).
_______________________________________________________________________________________________________
2ème étape: utilisation de me_cleaner sous Windows:
À partir de là il y a trois possibilités bios.bin étant le nouveau fichier BIOS à flasher qui sera créé par me_cleaner et backup.bin la sauvegarde que vous avez faite auparavant):
me_cleaner.py -O bios.bin backup.bin |
me_cleaner.py -S -O bios.bin backup.bin |
me_cleaner.py -s -O bios.bin backup.bin |
- Suivant votre carte-mère, il se peut que seulement l'option 1, 2, ou 3 fonctionne, ou que l'une fonctionne mieux que l'autre.
- La première est celle proposée historiquement par me_cleaner, la seconde (-S) va, en plus du nettoyage, désactiver le ME via la méthode découverte par les chercheurs, et la troisième (-s) va uniquement désactiver le ME sans le nettoyer.
- Chez moi (carte-mère ASUS Z170) la méthode 1 créé un délai de 15 secondes avant le POST, la méthode 2 le rend aussi (si ce n'est plus) rapide que d'origine. Pas testé la méthode 3.
- Si vous avez une carte-mère Gigabyte, la méthode 3 (-s) serait la plus appropriée. Vous pouvez utiliser Efiflash (version modifiée) pour le flash.
- Sur cette page vous trouverez des rapports d'utilisation de me_cleaner, cela peut vous guider pour savoir quelle méthode est la plus appropriée pour votre carte-mère.
_______________________________________________________________________________________________________
3ème étape: flash du BIOS:
Jusqu'ici il n'y avait aucun risque pour votre machine, mais la dernière étape comporte un certain risque (brick ou bootloop). Ceci-dit un simple flash de votre sauvegarde (ou échange de puce si vous en avez achetée une autre) permettra de revenir à l'état original.
Voilà le BIOS est prêt à être flashé, il y a plusieurs méthodes pour cela:
fptw64 -rewrite -f bios.bin |
(ça ne fonctionnera pas si certaines régions de la puce sont verrouillées, dans ce cas il faudra utiliser la technique du pinmod)
_______________________________________________________________________________________________________
AUTRES: UTILISER UN FICHIER BIOS TÉLÉCHARGÉ SUR LE SITE DU CONSTRUCTEUR
Marsh Posté le 26-10-2017 à 00:52:08
NOTES:
_______________________________________________________________________________________________________
AUTRES POSSIBILITÉS:
Un membre du forum, robin42800, propose ses services ici (je lui en ai commandé une avant de recevoir le CH341A et j'ai pu constater qu'il est très sérieux), sinon il y a aussi des tas de boutiques qui le font sur eBay ou ailleurs.
L'avantage de cette méthode c'est que vous n'avez pas à acheter un programmeur SPI, ni à apprendre à vous en servir, et si ça ne marche pas vous remettez simplement votre puce originale. L'inconvénient, c'est que si ça ne marche pas vous ne pourrez pas tester une autre méthode et vous avez acheté une puce pour rien (à moins de commander par la suite un programmeur SPI).
Marsh Posté le 26-10-2017 à 02:14:06
Salut
testé a l'instant
pour ma part sur ma z170m-plus la commande marche seulement si je supprimes le "python" devant la ligne
python me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin = KO
me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin = NICKEL
autre petite question, comment être certains que le me est down ?
dans le bios c'est écris 0.0.0.0 donc bien down
seule problème de mon coté pour le moment, la phase de post est terriblement longue entre le moment ou je presse le bouton start et ou j'ai l'image Asus il il y a bien 25 secondes avec tout a fond dans la machine, toi aussi tu as ça ?
C'est un peu génant (pour ma part ) mais si c'est le prix pour supprimer ce "mouchard" alors pourquoi pas reste a faire la même chose pour nos smartphones
Marsh Posté le 26-10-2017 à 02:52:38
orion a écrit : Salut |
Hello
J'avais ajouté python dans le PATH, donc ça marchait avec python devant, mais si ça marche sans, c'est encore mieux !
orion a écrit : Salut |
Alors oui j'ai un délai supplémentaire (environ 10 secondes) avant le POST, mais pas de ventilos tout à fond par contre.
Je devrais aussi préciser que le premier démarrage peut être très long, tu as essayé un autre démarrage depuis ?
Autrement, essaie la commande avec le -s minuscule, ça sera peut-être plus rapide.
Je n'ai pas encore reçu le programmeur SPI donc je ne peux pas tester les autres méthodes (ni faire un guide pour l’utilisation), mais ça viendra.
Marsh Posté le 26-10-2017 à 02:55:52
oui le premier boot est long mais ça ma fois c'est pas bien grave
je vais tester avec le -s
je dois aussi préciser que le ch341a a ces limites
-par exemple les puces stt/st et quelque d'autre sont lisible mais malheureusement pas programmable (ces puces restent assez rare heureusement, mais parfois présentes)
-Sur msi en 1155/1150... il est impossible de read le bios sur un ch341a ou truc du genre du fait du câblage bien particulier .
Sinon, je peux que m'incliner devant le tuto qui comme j'aime va a l'encontre des techniques répugnantes des grands de l'ouest
Marsh Posté le 26-10-2017 à 02:59:16
Merci ça fait plaisir !
Vu que tu t'y connais mieux que moi en flashage de puce BIOS, n'hésite pas à rajouter des infos ici, je les mettrai dans le 1er (ou second) post.
Donc déjà, les MSI c'est out avec le CH341A, est-ce que c'est le cas pour d'autres fabricants ?
Marsh Posté le 26-10-2017 à 03:02:13
je ne dirais pas que je m'y connais mieu ! c'est l’expérience et des nuits de recherches qui m'ont fait trouver les problèmes et les solutions, comme toi je pense
Je soupçonne Gigabyte de stocké des informations sur une puce externe, (le me ????) sur pas mal de mobale gigabyte, en plus des deux puces bios une troisième est présente... a ce jour je ne me suis pas encore penché sur la question.. une chose est certaines vu la taille de la puce c'est pas simplement pour stocké les mot de passes bios...
ch341a et pas seulement malheureusement, ne passent pas sur 1155/1150/1156 msi, en revanche en 1151/am4 j'ai pu testé et ça passe
Marsh Posté le 26-10-2017 à 03:05:56
Ah si si, mon expérience avec les programmeurs SPI est encore théorique à ce jour, et lorsque j'aurais reçu le mien elle se bornera (tout du moins au début) à ma carte mère, une ASUS Z170, donc oui, tu es bien plus expérimenté que moi, c'est certain !
Je savais que GigaByte a des modèles Dual BIOS (par contre j’ignorais pour la puce externe).
Je vais rajouter un note pour les MSI et leur incompatibilité avec le CH341A. Tu es un modèle de remplacement pas trop cher à conseiller ?
Marsh Posté le 26-10-2017 à 03:08:45
malheureusement non, sur ces mobales il faut un truc plus pro.. pour ma part c'est celui du boulot, un truc don't j'ignore encore le prix
Marsh Posté le 26-10-2017 à 03:14:56
OK, tant-pis, quelqu'un aura peut-être un modèle à proposer.
Marsh Posté le 26-10-2017 à 09:53:29
Han!
Merci pour l'info...Une diablerie de plus!
10 PC fonctionnels et utilisés à la maison (si, si)......avec des BIOS parfois modifiés etc...Bon, vais voir
Marsh Posté le 26-10-2017 à 15:35:20
10 PC ça vaut largement le coup d'investir dans un programmeur SPI.
Marsh Posté le 26-10-2017 à 22:15:58
Drap de chez drap
Méchant taf quoi chapeau
Va falloir que je me penche sur la question, et puis c'est plus une backdoor c'est un putain de portail double battant pour le coup
Marsh Posté le 26-10-2017 à 22:49:01
Soit les cartes mères x99 ne sont pas concernées soit y a un truc qui va pas
Car j'ai juste lancé le diagnostic de Intel si c'est le bon
Marsh Posté le 26-10-2017 à 23:26:52
@drynek : Merci
@F117: Là tu parles de la faille d'il y a 6 mois, d'autres existent, et surtout ton ME est actif, le sujet du topic c'est de le désactiver. Si tu ne le souhaites pas tu peux toutefois le mettre à jour en espérant que de nouvelles failles ne soit pas découvertes (et en sachant que Intel et cie ont le contrôle de toute manière) , voir le 3ème post.
Marsh Posté le 26-10-2017 à 23:37:41
Si justement je souhaite le désactiver
Je voulais savoir si le diagnostic Intel était vraiment fiable
Ce qui a pas l'air être le cas
Marsh Posté le 27-10-2017 à 00:30:12
Je suppose qu'il est fiable pour cette faille en particulier, mais le problème du ME reste entier.
Marsh Posté le 27-10-2017 à 01:25:26
J'ai revu le guide, j'ai notamment ajouté une archive avec des outils Intel permettant le backup (et le flash) du BIOS qui devrait fonctionner sur à peu près toutes les cartes mères pour peu que le BIOS ne soit pas verrouillé.
Marsh Posté le 27-10-2017 à 08:04:01
Merci Miles, je vais m'occuper de ça sur ma plateforme dès que j'aurai un peu de temps, j'espère juste que cela fonctionnera du premier coup . En tout cas merci pour l'info, c'est quand même des en*****, même si nous sommes des utilisateurs LAMBDA, toutes ces stupidités de télémétries et portes ouvertes sur nos PC sans que cela soit vraiment communiqué, me déplaisent vachement..
++
Marsh Posté le 27-10-2017 à 08:37:43
Par contre un point soulevé me taraude, tu dit a priori que passé par une carte tier pourrais empêcher ME de fonctionner, OK sur le principe mais si il s'agit bien d'un OS dans l'OS qu'est ce qui empêche ME d'aller chercher le pilote tout seul dans ce cas ?
Sinon je suis tranquille je passe par une clé wifi par exemple sur ma tour donc en USB non alimenté déjà ordi éteint ça limite grandement déjà
Marsh Posté le 27-10-2017 à 18:07:30
Justement, il ne peut pas aller chercher le pilote puisque il ne peut pas communiquer avec l'extérieur (à moins qu'il n'existe une sorte de pilote réseau universel).
Lorsque le PC est "éteint" (en fait dans une veille profonde), quasiment tous les périphériques le sont aussi, mais pas la carte réseau, on peut d'ailleurs voir les diodes qui restent allumées en général.
Le ME peut évidemment l’allumer pour accéder aux disques par exemple, s'il en reçoit l'ordre, mais si il ne sait pas communiquer avec la carte réseau il ne peut pas recevoir cet ordre.
Marsh Posté le 27-10-2017 à 19:16:52
donc je suis pas tellement emmerder avec ce truc de une mon bios est configuré pour coupé les usb à l'extinction (testé en effet ils sont pas alimenté ) et j'ai coupé le démarrage rapide aussi dans le doute c'était déjà fait
après la meilleur sécu c'est la prise électrique
mais je vais quand même essayé de voir si je peut virer ce truc pour le principe comme le reste (tous les accés distant dans le registre sont OFF et d'autres trucs)
Marsh Posté le 27-10-2017 à 19:42:15
Pour les cartes MSI qui ont la puce BIOS soudée, on peut la flasher à même la CM avec un Raspberry Pi et le genre de pinces dont j'ai parlé.
Guide en anglais avec photos:
me_cleaner on a MSI H110M ECO
Marsh Posté le 27-10-2017 à 20:09:15
Cela semble aussi faisable pour les Mac, exemple avec un MacBook Pro 13 pouces de 2011:
https://github.com/corna/me_cleaner/issues/76
Marsh Posté le 06-11-2017 à 17:50:37
J'ai reçu mon programmeur SPI aujourd'hui, du coup j'ai pu flasher à nouveau, cette fois avec le paramètre -S, et je n'ai plus le délai de 15 secondes avant le POST que j'avais avec le simple nettoyage.
Marsh Posté le 06-11-2017 à 17:51:59
je m’empresse de tester ;D
Marsh Posté le 06-11-2017 à 18:14:33
ReplyMarsh Posté le 06-11-2017 à 18:20:10
j'y arrive pas
j'ai le mssages "me_cleaner.py: error: unrecognized arguments: dump-de-votre-bios.bin
par contre avec la commande : me_cleaner.py -O bios-nettoyé.bin dump-de-votre-bios.bin
tout roule
Marsh Posté le 06-11-2017 à 18:29:14
Ah oui il y avait une erreur dans le tuto
J'ai corrigé ça.
À partir de là il y a trois possibilités (bios.bin étant le nouveau fichier BIOS à flasher et backup.bin la sauvegarde faite auparavant)
Marsh Posté le 06-11-2017 à 18:35:29
super !!!!!!!! je le programme et reviens
merci beaucoup
Marsh Posté le 06-11-2017 à 18:37:07
Bonjour, si je comprends bien, à partir du moment où l'on débranche le câble réseau par exemple, il n'y a plus de problèmes, si pas de Wi-Fi ?
Marsh Posté le 06-11-2017 à 18:41:01
Franchies a écrit : Bonjour, si je comprends bien, à partir du moment où l'on débranche le câble réseau par exemple, il n'y a plus de problèmes, si pas de Wi-Fi ? |
Bah c'est sûr que si le PC n'est pas connecté il y a peu de chances qu'il puisse discuter avec l'extérieur
Marsh Posté le 06-11-2017 à 18:42:36
D'après Wootever le programmateur SPI avec le PCB noir est mal conçu et envoie du 5V là ou il devrait envoyer du 3,3V.
Perso j'ai pu l'utiliser sans souci mais il semblerait qu'il y ait un risque de cramer certaines puces.
Il y a un fix pour qui sait souder, sinon le mieux c'est de commander le modèle avec un PCB vert qui lui n'a pas ce souci.
Du coup je l'ai commandé, ça m'en fera deux.
Trouvé un guide Linux très complet: https://wiki.gentoo.org/wiki/Sakaki [...] ent_Engine
Marsh Posté le 06-11-2017 à 18:45:04
testé a l'instant, rien a dire ! bravo, intel me sur 00.00.00.00
et la carte boot limite plus rapidement qu'avant !
BRAVO
Marsh Posté le 06-11-2017 à 18:49:07
je vais recevoir des modèles msi, je testerais le le bios sans me, et reviens t'en dire plus
Marsh Posté le 06-11-2017 à 18:49:39
Nickel alors!
Je crois moi aussi que c'est encore plus rapide qu'avant.
Marsh Posté le 26-10-2017 à 00:31:42
Introduction:
Depuis Juin 2006, Intel fournit avec ses chipsets le Management Engine (ME) ainsi que l'Active Management Technology (AMT) sur les gammes pro.
En bref c'est un ordinateur dans l'ordinateur, avec son propre CPU (architecture x86 depuis la version 11 du ME, ARC auparavant) et son propre OS (basé sur Minix sur v11+), qui permet des tas de choses intéressantes, comme le contrôle total d'un PC, allumé, en veille, et même éteint (tant qu'il est branché électriquement si c'est un fixe, ou que la batterie est présente si c'est un portable), la visualisation de l'écran, l'enregistrement des frappes clavier, l'accès à la RAM, le flash du BIOS, (etc..), et tout cela indépendamment de l'OS, du moment que le PC est relié à Internet. La backdoor ultime.
Si c'est justifiable dans le cas d'un parc de PC professionnels (les technos AMT et AntiTheft s'appuient sur le ME par exemple), ça l'est beaucoup moins pour le PC des particuliers, surtout que le ME n'est pas (officiellement) désactivable.
Certains pensent que c'est à la demande des services secrets US qu'Intel à mis en place le ME.
AMD a une technologie équivalente, appelée PSP (Platform Security Processor), mais ce n'est pas l'objet de ce topic.
En résumé: si vous avez un PC avec CPU Intel sorti après Juin 2006, vous avez un deuxième ordinateur indépendant avec CPU et OS (chiffré) qui fonctionne même quand votre PC est éteint, peut l'allumer, et ce n'est pas vous qui en avez le contrôle.
Pour couronner le tout, plusieurs failles de sécurité ont été découvertes dans le ME (et de nouvelles le sont régulièrement), ce qui rend potentiellement vulnérable tout PC avec CPU Intel, quel que soit votre OS.
Infos en français:
http://www.hardware.fr/news/15102/ [...] l-amt.html
http://www.hardware.fr/news/15247/ [...] ngine.html
http://www.hardware.fr/news/15297/ [...] el-me.html
https://www.zataz.com/pirater-a-distance-intel/
http://blogmotion.fr/internet/secu [...] 5689-15938
https://www.touslesdrivers.com/inde [...] _code=6843
Infos en anglais:
http://me.bios.io/Main_Page
https://www.bleepingcomputer.com/ne [...] -execution
https://newsroom.intel.com/news/imp [...] y-firmware
https://www.blackhat.com/eu-17/brie [...] ngine-8668
http://blog.invisiblethings.org/pa [...] armful.pdf
https://security-center.intel.com/a [...] geid=en-fr
Ressources:
https://github.com/ptresearch
https://github.com/chip-red-pill/
https://github.com/platomav/
Intel fournit des correctifs, mais les fabricants de carte-mères ne sortent pas toujours de mise à jour de BIOS, surtout sur les cartes-mères un peu anciennes, et de toute manière rares sont les utilisateurs à mettre à jour leur BIOS et encore moins leur ME.
Et il reste qu'Intel (et Dieu sait qui) ont les clés de tous les PC comportant un ME actif...
Après vous avoir dressé ce tableau noir, j'en viens à la bonne nouvelle: il est possible de désactiver partiellement le ME, et ce sans effets secondaires gênants dans la plupart des cas.
me_cleaner est un projet open-source visant à supprimer le maximum possible du firmware du ME (contenu dans votre puce BIOS, dans ce qu'on appelle la région ME), le rendant inopérant tout en gardant les fonctions nécessaires au bon fonctionnement du PC.
Liste des chipsets qui peuvent êtres débarrassés du ME
Explication du fonctionnement de me_cleaner
Des chercheurs ont trouvé comment désactiver le ME en changeant un seul bit (ME Disable Bit): 1 2 3 4 5
Cette fonction a été intégrée dans me_cleaner, ce qui permet de choisir entre un nettoyage, une désactivation, ou les deux à la fois.
Le nettoyage/désactivation du ME sera l'objet de la suite de ce topic.
Pour les nerds, voilà un guide en anglais qui couvre Windows et Linux et un autre très complet pour Linux.
Pour le commun des mortels, qu'on imagine sous Windows et pas très au courant des manips à effectuer, mais assez courageux et soucieux de leur sécurité informatique, la suite du guide est pour eux. Je vous conseille avant tout de lire les trois posts suivants afin de bien maîtriser le sujet.
Message édité par Umi le 11-01-2022 à 21:21:11
---------------
Veillez donc et priez en tout temps, afin que vous ayez la force d'échapper à toutes ces choses qui arriveront, et de paraître debout devant le Fils de l'homme.