J'ai récemment lu sur Intel ME (Management Engine), qui est un domaine spécial dans les nouveaux processeurs Intel qui a un contrôle complet sur l'ordinateur. Personne ne sait exactement ce qu'il contient et il y a beaucoup de problèmes de sécurité à ce sujet. Je l'ai appris ici:
https://stallman.org/intel.html
Que puis-je faire à ce sujet? Y a-t-il des moyens d'arrêter cela, ou est-ce désespéré?
N'utilisez pas la carte réseau intégrée, c'est ainsi que ME accède à Internet. Utilisez plutôt un périphérique LAN USB, ou même un périphérique branché sur un emplacement PCI - ME ne sait pas comment les utiliser!
Vous pouvez utiliser me_cleaner pour effacer tout sauf les parties les plus essentielles du ME. Ce n'est pas sans risques, bien sûr.
Le NSA avait Intel installé un killswitch pour cela ; vous pourriez être en mesure d'obtenir votre OEM pour l'activer pour vous avec une mise à jour spéciale du BIOS (ou vous pourriez être en mesure pour éditer votre firmware vous-même.) Certains OEM (Purism, System76 et Dell) ont commencé à offrir cela en option avec certains ordinateurs, à la suite de la vulnérabilité 2017 .
Vous pouvez essayer de désactiver la fonction AMT dans votre BIOS.
Allez dans "Fonctions avancées du chipset" puis "Intel AMT" (le libellé exact peut être différent pour vous) et réglez-le sur "Désactivé". Enregistrez et quittez votre BIOS.
Ensuite, lorsque votre ordinateur se rallume, appuyez sur Ctrl + P pour accéder au menu AMT et réglez "Intel ME Control State" sur "Disabled".
Cependant, personne en dehors d'Intel ne sait avec certitude ce que font ces bascules et si AMT peut se réactiver sans que vous le sachiez est une autre question (il y a beaucoup de rumeurs à ce sujet, mais je reste neutre jusqu'à ce que nous sachez au moins que vous serez (surtout) en sécurité tant que vous ne serez pas connecté à Internet.).
Une autre option consiste à utiliser uniquement du matériel pré-AMT.
Un petit sous-système informatique à faible consommation d'énergie appelé Intel® Management Engine (Intel® ME) est intégré à de nombreuses plates-formes basées sur les chipsets Intel®. Cela effectue diverses tâches pendant que le système est en veille, pendant le processus de démarrage et lorsque votre système est en cours d'exécution. Il est important que ce sous-système fonctionne correctement pour tirer le meilleur parti des performances et des capacités de votre PC. Cet utilitaire vérifie que le sous-système Intel® ME fonctionne et communique correctement jusqu'au système d'exploitation. Cela peut donner au constructeur et à l'utilisateur du système une bonne idée qu'en cas de démarrage du système ou de problème de performances, Intel® ME n'est pas le problème.
Selon FAQ de LibreBoot , les processeurs Intel ne sont pas les seules puces avec cette "fonctionnalité" - AMD a quelque chose comme ça. Quiconque veut être plus sûr n'utilisera tout simplement pas les processeurs modernes. Aucun des processeurs répertoriés sur le site Web de LibreBoot n'est fourni avec Intel ME.
Complètement et définitivement (sauf si vous le réinstallez) désactivez la technologie Intel Active Management, la technologie Intel Small Business et la gestion standard Intel sous Windows . Ce sont des composants du micrologiciel Intel Management Engine. Alors qu'Intel ME fonctionne toujours, les pilotes Windows sont désactivés et Intel ME ne peut plus accéder à Windows.
1) Téléchargez le Intel Setup and Configuration Software (Intel SCS) et extrayez.
2) Ouvrez un invite de commande administrateur et accédez à l'endroit où vous avez extrait les fichiers à l'étape 1
cd Configurator
3) Dans l'invite de commandes, exécutez ACUConfig.exe UnConfigure
. Si vous obtenez une erreur, essayez l'une des options ci-dessous:
Déconfiguration d'un système dans ACM sans intégration RCS: ACUConfig.exe UnConfigure /AdminPassword <password> /Full
Déconfiguration d'un système avec intégration RCS: ACUConfig.exe UnConfigure /RCSaddress <RCSaddress> /Full
4) Toujours dans l'invite de commande, désactivez et/ou supprimez LMS (Intel Management and Security Application Local Management Service):
sc config LMS start=disabled
sc delete LMS
sc qc LMS
, qui vous montrera le chemin vers LMS.exe ou FAIL. S'il vous montre le chemin, utilisez l'Explorateur pour le supprimer. En cas d'échec, ne vous inquiétez pas.5) Redémarrez
6) Vérifiez s'il y a toujours un socket à l'écoute sur les ports Intel ME Internet Assigned Names Authority (IANA) sur le client: 16992, 16993, 16994, 16995, 623 et 664 (vous pouvez également le faire avant commencer à vérifier qu'il écoute. L'Intel ME écoute même si l'interface graphique Intel AMT montre qu'Intel ME est "non configuré")
netstat -na | findstr "\<16993\> \<16992\> \<16994\> \<16995\> \<623\> \<664\>"
7) L'interface graphique Intel AMT devrait maintenant afficher "les informations non disponibles sur les deux onglets restants" (vous pourriez avoir eu 3 onglets ou plus avant de passer par les étapes ci-dessus)
Voilá, vous vous êtes débarrassé d'Intel AMT. Et vous avez fait la bonne chose , en particulier après le 2017-05-01 problème d'élévation de privilèges .
De cela source (avertissement, c'est mon propre blog)