Outils pour utilisateurs

Outils du site


wiki:securite:secu_materiel

Sécurité au niveau Matériel

En cours de rédaction

Protection du local

  • Serrures…

Contre le vol de l'ordinateur

Pour l'ordinateur, l'écran, le disque externe, l'imprimante…

  • Câble antivol

Ordinateurs "propres"

Au niveau du boîtier

  • Certains modèles de PC fixes disposent d'un emplacement pour cadenas pour empêcher l'ouverture du capot de l'ordinateur de bureau. Ce qui n'est pas le cas des ordinateurs portables, il ne peuvent être protégés contre les intrusions physiques (ouvertures).
  • Certains boitiers de PC fixes possèdent un contacteur qui détecte l'ouverture et tracent la date et l'heure de l'accès à l'intérieur du PC. Ce fichier est consultable au niveau du BIOS

Au niveau du MdP du BIOS / UEFI

Le retrait de la pile de la carte mère efface les mots de passe éventuellement entrés dans le bios (pour par exemple empêcher de changer l'ordre de démarrage des disques et donc empêcher de booter depuis un CD ou disque dur externe, ce qui donne accès aux disques internes sans devoir se connecter par le système d'exploitation quel qu'il soit). Les ordinateurs portables ne peuvent être protégés contre les intrusions physiques (ouvertures).

  • Cadenas pour empêcher l'ouverture du capot de l'ordinateur de bureau.
  • Crypter les disques ou partitions pour protéger le contenu.

Au niveau d'Intel ME (Management Engine)

Mon PC est-il OK par rapport au “pilote Intel ME (Management Engine)” ? https://search.lilo.org/results.php?q=pilote%20Intel%20Management%20Engine%20&page=1

Au niveau de Computrace de Absolute

Le Computrace mouchard universel présent sur Windows, Mac, Android, depuis 2005. 20 mai 2014 — https://korben.info/computrace-lojack-absolute.html

Computrace se divise en 3 modules présents dans l’option ROM PCI qui est chargée ensuite par le BIOS de la machine.

  • Computrace Loader Module : Module de chargement lu par le BIOS et capable d’appeler le module d’installation.
  • Agent Installation Module : Module qui installe l’agent sur Windows.
  • Agent : L’agent en lui-même qui est ensuite présent et fonctionnel sous Windows.

Cette « option » Computrace est présente dans une partie non modifiable du BIOS, elle est normalement visible dans le BIOS des machines (masqué dans certains) et est mise en place par tous les fabricants partenaires (Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Micro$oft, Panasonic, Samsung, Sony, Toshiba, ???).

Il utilise autochk.exe, son agent System32\rpcnetp.exe, rpcnet.exe, rcpnetp.dll, un processus masqué utilisant iexplore.exe (Internet Explorer). Il permet un accès distant et complet (tracking et prise de contrôle à distance). Computrace marque la machine d'un ID unique.

Micro$oft l’avait reconnu comme malveillant et nommé Win32/BeeInject, maintenant en liste blanche.

Pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l’un des processus suivants est lancé :

  • rpcnet.exe
  • rpcnetp.exe
  • 32 bitsvchost.exe (tournant sur un OS en 64 bits)

Bloquer les connexions de l’agent : entrer les URL ci-dessus (voire l'article) dans votre fichier Hosts en les faisant pointer vers votre adresse localhost (127.0.0.1).

Vérifier si vous êtes infecté, si vous êtes sous Windows, lancez le logiciel Computrace Lojack Checker. Il patche automatiquement votre fichier host. https://korben.info/computrace-outil-verifier-etes-infecte.html

Et son équivalent grand public : LoJack.

Absolute n’est pas le seul sur ce marché…

FailSafe dans les BIOS de Phoenix Technologies (en mode SMM avec tous les privilèges) et sous le nom de VPro sur les puces Intel.

Peu importe l’OS, ces technologies sont capables d’exploiter directement le matériel (carte WiFi, GPS, etc.).

A REVISER…
Même si l'ordinateur est éteint, lire la doc d’Intel.
L’agent est dispo sous Linux et tourne sur RedHat 6, Ubuntu 10, Mint 9, openSuse 11, CentOS 5, Fedora 13 et Debian 5.
(Fernando)

Opter pour du matériel libre ;-)

Utilisez un BIOS libre non signé comme Coreboot.

http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=publication&name=Deactivate_the_Rootkit
http://www.absolute.com/en/partners/bios-compatibility
http://www.absolute.com/en/resources/whitepapers/absolute-persistence-technology
https://www.google.com/patents/US20060272020
http://en.wikipedia.org/wiki/LoJack
http://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS (Ru)


backdoor — malveillant — mouchard — tracking — contrôle à distance


wiki/securite/secu_materiel.txt · Dernière modification: 2020/10/16 18:47 (modification externe)