Introduction
Dans cet article, je vais traiter d’une norme industrielle incontournable aujourd’hui, utilisée dans le domaine de la technologie, présente principalement dans les ordinateurs modernes. L’ACPI (Advanced Configuration and Power Interface).
Qu’est-ce que L’ACPI ?
L’ACPI est le résultat d’un travail collaboratif d’Intel, de Microsoft, d’HP et de Phoenix Technologies dans les années 90 qui a permis le développement d’une norme industrielle pour permettre une gestion moderne de la configuration matérielle par les systèmes d’exploitation.
Pourquoi l’ACPI ?
Avant l’ACPI, la configuration matérielle était faite à l’aide du BIOS (Basic Input/Output System), des IRQ (Interrupt Request Lines) et des pilotes spécifiques pour chaque matériel.
C’était une tâche des plus difficiles lorsqu’il s’agissait de mettre en place un système d’exploitation et de lui apprendre à fonctionner correctement lors de la connexion d’un péripherique. Heureusement, l’ACPI offre désormais une simplification considérable de ce processus.
Microsoft ❤️ Linux !
Souvenez-vous dans les années 2000, la vision de Linux par le PDG de Microsoft de l’époque, Steve Balmer, ressemblait à cela : « Linux is a cancer that attaches itself in an intellectual property sense to everything it touches. » [1]
Depuis 2014 et le fameux slogan “Microsoft ❤️ Linux” popularisé par le CEO de l’époque, Satya Nadella, la communauté des développeurs et du libre s’est dit : “Cool, enfin !” L’arrivée de WSL en 2016 laissait penser que la hache de guerre était enterrée.
Malheureusement en coulisse, Microsoft utilise sa position dominante pour forcer certaines choses au sein de la norme de l’ACPI, comme forcer les manufacturiers à privilégier le système d’exploitation Windows en autorisant uniquement des méthodes ACPI propriétaires. [2]
De plus, certains verrous sont imposés et les manufacturiers s’assurent d’embarquer dans leurs produits des options au niveau du BIOS qui permettent de s’assurer que le firmware Pluton ne soit pas désactivable. [3]
Il se peut qu’à l’avenir, un utilisateur Linux essayant d’installer sa distribution sur un ordinateur récent puisse potentiellement perdre l’accès au matériel et, en fin de compte, ne puisse plus installer une distribution open source !! ⚠️
Microsoft ❤️ Linux ! Vraiment ?
Cyberrisques en lien avec l’ACPI
Depuis 2008, les manufacturiers ont intégré un nouveau firmware sur la carte mère, intégré au niveau du chipset, qui joue le rôle d’un sous-système totalement autonome avec un accès complet au système d’exploitation puisqu’il démarre avant lui.
Intel : Intel Management Engine (ME) depuis 2008
AMD : AMD Platform Security Processor (PSP) depuis 2013
Microsoft : Microsoft Pluton as Trusted Platform Module depuis 2022
Ces sous-systèmes de conception 🇺🇸 ont donc potentiellement la capacité de jouer le rôle d’une porte dérobée, et bien évidemment ils ont eu leurs vulnérabilités respective :
Intel ME : CVE-2017-5689, 5705, 5708, 5712 (RCE, élévation de privilèges, accès à la gestion distante)
AMD PSP/ASP : CVE-2023-20576, 20577, 20587, 31342 (Privilege escalation, exécution code arbitraire SMM/AGESA)
Microsoft Pluton : CVE-2023-1017, 1018 (Buffer overflows/lecture hors limites dans le TPM 2.0)
Ces sous-systèmes ont la capacité de faire des mises à jour hors-bande (Out-Of-Band, OOB) d’une machine distante même quand le système d’exploitation ne tourne pas.
Finalement, si un de ces sous-systèmes est vulnérable ou si le firmware contient une porte dérobée, la probabilité que vos données soient accessibles n’est pas négligeable.
Rappelons que les manufacturiers ne partagent aucune information sur le fonctionnement ou le code qui réside dans ces firmwares, d’où la suspicion d’une porte dérobée potentielle.
Comment s’en protéger / Bonnes pratiques
La méthode la plus simple est de ne pas utiliser une technologie qui embarque ce type de sous-système. Bien évidemment, cette approche n’est pas réaliste pour la plupart des utilisateurs pour plusieurs raisons :
R1 : L’utilisateur lambda n’est pas au fait de ces sous-systèmes et, dans son utilisation d’un ordinateur, ce qu’il recherche est quelque chose de fonctionnel pas trop dispendieux. Pour lui, lorsqu’il éteint son laptop, il est certain que celui-ci est hors ligne.
R2 : L’utilisateur qui a connaissance de ce type de sous-système, mais ce sont les couts rattachés à l’achat d’équipements sécurisés, qui sont rédhibitoires. 💰 💰
Certains manufacturiers proposent des équipements sécurisés comme par exemple la gamme Librem [4] du manufacturier Purism.
Conclusion
Une simple veille des grands acteurs révèle que certains slogans masquent parfois des méthodes discutables.
Si vous souhaitez maintenir le contrôle sur votre appareil contenant toutes vos informations privées, veillez à choisir une machine qui vous offre la possibilité de les protéger des yeux indiscrets.
Utilisez coreboot [5] , libreboot [6] avec une machine qui n’embarque aucun firmware douteux et un système d’exploitation libre. [7]
Commentaires et Discussion
Partagez et discutez
💬 Je suis Yannick Vollenberg , si vous souhaitez participer à la discussion sur les réseaux sociaux. C'est le meilleur moyen de me faire part de vos commentaires et de partager l'article.