Les coprocesseurs de sécurité embarqués — Intel ME (Management Engine) et AMD PSP (Platform Security Processor) — sont des systèmes informatiques autonomes intégrés dans chaque processeur moderne, fonctionnant indépendamment du CPU principal et du système d'exploitation. Ces coprocesseurs ont un accès complet et permanent à la mémoire RAM, au réseau (AMT pour Intel ME), et aux périphériques — même quand l'ordinateur est éteint (en standby). Conçus pour la gestion à distance (Intel AMT), le démarrage sécurisé et la gestion des clés DRM, ils représentent une surface d'attaque critique car ils sont invisibles au système d'exploitation et impossibles à auditer complètement (firmware propriétaire partiellement chiffré). Ce guide technique couvre l'architecture de ces coprocesseurs, les vulnérabilités découvertes, les techniques d'exploitation firmware, et les options de mitigation pour les organisations soucieuses de leur souveraineté numérique.
En bref
- Intel ME : architecture MINIX, AMT, accès réseau et mémoire DMA, firmware exploitation
- AMD PSP : architecture ARM TrustZone, fTPM, Secure Boot et vulnérabilités
- Exploitation : JTAG access, SPI flash extraction, buffer overflows dans le firmware
- Vulnérabilités critiques : CVE-2017-5705 (ME RCE), AMD fTPM attacks, SA-00086
- Mitigations : HAP bit, me_cleaner, coreboot, et audit de firmware
Architecture Intel ME
Intel ME est un système informatique complet intégré dans le PCH (Platform Controller Hub) :
| Composant | Détail | Implication sécurité |
|---|---|---|
| CPU | x86 (Quark) ou ARC (ancien), 32-bit | Exécute du code arbitraire si compromis |
| OS | MINIX modifié (depuis ME 11+) | Stack TCP/IP, filesystem, scheduler |
| Mémoire | Accès DMA à toute la RAM du système | Lecture/écriture de la mémoire du CPU |
| Réseau | Accès direct au NIC (AMT, port 16992) | Backdoor réseau indétectable par l'OS |
| Stockage | SPI flash (firmware), ME storage | Persistance au-delà du reformatage |
| Fonctions | AMT, Boot Guard, PTT (fTPM), ICC | Chaque fonction étend la surface d'attaque |
Intel AMT : Accès Réseau à Distance
Intel AMT (Active Management Technology) est la fonction la plus critique de ME : elle fournit un accès distant complet au système (KVM, redirection de console, power management) via le réseau, indépendamment de l'OS. AMT écoute sur le port 16992 (HTTP) et 16993 (HTTPS) et offre une interface web et SOAP pour le contrôle à distance. Un attaquant compromettant AMT obtient un accès indétectable et persistant au système.
La vulnérabilité CVE-2017-5689 (INTEL-SA-00075) est emblématique : un bug d'authentification dans AMT permettait le bypass complet de l'authentification en envoyant une réponse d'authentification vide (ou avec un hash tronqué). Tout système avec AMT activé et accessible sur le réseau était compromis — des millions de systèmes d'entreprise affectés.
AMD PSP : Platform Security Processor
Le AMD PSP est l'équivalent AMD de Intel ME : un coprocesseur ARM Cortex-A5 avec TrustZone intégré dans le die du CPU AMD. Le PSP gère le Secure Boot, le fTPM (firmware TPM), la gestion des clés mémoire (SME/SEV), et la validation de l'intégrité du firmware UEFI. Contrairement à Intel ME, le PSP n'a pas d'équivalent AMT (pas d'accès réseau direct), mais il a un accès DMA à la RAM.
Vulnérabilités Critiques Intel ME
- INTEL-SA-00086 (CVE-2017-5705/5706/5707) : multiples buffer overflows dans le kernel ME permettant l'exécution de code arbitraire sur le coprocesseur ME. Affecte les ME versions 11.0 à 11.7. Exploitation via JTAG ou accès SPI flash.
- CVE-2018-3655 (SA-00125) : faille dans le démarrage sécurisé de ME permettant l'exécution de firmware non signé sur le ME — persistance totale.
- AMT silent provisioning : un administrateur réseau peut provisionner AMT sans le consentement de l'utilisateur, créant un accès distant sur des systèmes que l'utilisateur croit sécurisés.
me_cleaner et Mitigation
me_cleaner est un outil open-source qui supprime la majorité du firmware Intel ME de la SPI flash, ne conservant que les modules essentiels au démarrage du système. Sur la plupart des systèmes, ME peut être réduit de ~5 MB à ~90 KB sans affecter le fonctionnement. Le HAP bit (High Assurance Platform) — un bit découvert dans le firmware ME par les chercheurs de Positive Technologies — désactive ME après l'initialisation du hardware. Ce bit était apparemment utilisé par la NSA pour désactiver ME sur ses propres systèmes.
# me_cleaner — réduire le firmware Intel ME
# ATTENTION : opération risquée, peut bricker le système
# 1. Extraire le firmware SPI (via programmer SPI ou flashrom)
flashrom -p internal -r bios_dump.bin
# 2. Appliquer me_cleaner
python3 me_cleaner.py -S -O cleaned.bin bios_dump.bin
# -S : soft disable (HAP bit si supporté)
# 3. Re-flasher (risque de brick)
flashrom -p internal -w cleaned.binCoreboot et Firmware Open-Source
Coreboot est un firmware open-source qui remplace le BIOS/UEFI propriétaire. Combiné avec me_cleaner et un payload comme Heads (boot sécurisé vérifié par l'utilisateur), il offre la meilleure protection possible contre les implants firmware. Les laptops System76, Purism Librem et NovaCustom utilisent coreboot avec ME désactivé.
À retenir
- Intel ME est un OS complet (MINIX) avec accès DMA à la RAM et au réseau — actif même machine éteinte
- AMT (port 16992) fournit un accès distant total au système, indépendant de l'OS — cible de choix
- AMD PSP (ARM Cortex-A5) gère Secure Boot, fTPM et SEV — accès DMA sans accès réseau direct
- me_cleaner + HAP bit réduisent la surface d'attaque ME de ~5 MB à ~90 KB de firmware
- Coreboot + Heads est la solution la plus robuste pour un firmware auditable et ME minimal
FAQ — Questions Fréquentes
Peut-on complètement désactiver Intel ME ?
Non, Intel ME ne peut pas être complètement désactivé car il est nécessaire à l'initialisation du matériel (PCH initialization). Cependant, me_cleaner supprime tous les modules non essentiels, et le HAP bit désactive ME après l'initialisation hardware. Le résultat est un ME minimal qui ne peut plus exécuter de code arbitraire ni communiquer sur le réseau.
Intel ME est-il une backdoor de la NSA ?
La découverte du HAP bit (utilisé par la NSA pour désactiver ME sur ses systèmes) a alimenté les théories. Intel affirme que ME est conçu pour la gestion d'entreprise (AMT) et la sécurité (Boot Guard). Cependant, l'impossibilité d'auditer complètement le firmware propriétaire et l'accès privilégié de ME (DMA, réseau, persistance) rendent les préoccupations légitimes.
Comment vérifier si AMT est activé sur mon système ?
Sur Windows : netstat -an | findstr 16992 pour vérifier si le port AMT écoute. Sur Linux : ss -tlnp | grep 16992. Utilisez l'outil Intel MEInfo pour obtenir l'état complet de ME/AMT. Dans le BIOS, cherchez les options Intel AMT, ME, ou vPro pour les désactiver si non nécessaires.
Besoin d'un accompagnement expert ?
Nos consultants spécialisés en sécurité firmware et hardware vous accompagnent dans l'évaluation de votre posture de sécurité.
Contactez-nousTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire