La technologie Intel AMT, faisant partie du “package” Intel vPro, permet de gérer un parc de machines de façon centralisée. Par “gérer”, nous entendons qu’il est possible de changer les paramètres du BIOS, d’accéder aux disques, aux interfaces réseau et à l’écran (KVM) de la machine à distance. AMT a récemment fait les grands titres des journaux car il est possible d’utiliser cette technologie à mauvais escient afin de gagner un accès à toute machine sur laquelle elle est dans sa configuration par défaut.
Il ne s’agit pas à proprement parler d’une faille, mais du choix incompréhensible des constructeurs d’activer AMT et de protéger ses paramètres avec le mot de passe « admin » par défaut…
AMT est généralement disponible sur toutes les machines Intel des gammes professionnelles de moins de 10 ans. Vous trouverez sur https://communities.intel.com/docs/DOC-5693 de précieuses informations vous permettant d’identifier si votre PC dispose de cette technologie.
Le groupe sécurité IT de la VPSI vous conseille de désactiver AMT s’il n’est pas utilisé par votre gestionnaire informatique (ce n’est très vraisemblablement pas le cas).
Comment désactiver AMT (méthode rapide pour certains matériels comme les Lenovo ThinkPad 450 et supérieurs)
- Si votre machine tourne sous Windows et utilise le chiffrement de disque BitLocker, suspendez-le temporairement :
- Cliquez sur Démarrer, Panneau de configuration, Système et sécurité, puis sur Chiffrement de lecteur BitLocker.
- Cliquez sur Suspendre la protection pour le lecteur du système d’exploitation.
- Un message est affiché, qui vous informe que vos données ne seront plus protégées tandis que BitLocker est suspendu et vous demande si vous voulez suspendre le chiffrement de lecteur BitLocker. Cliquez sur Oui pour continuer et suspendre BitLocker sur le lecteur.
- Redémarrez la machine (ou éteignez puis rallumez-la).
- Dès les premiers signes d’activité (avant que le système d’exploitation ne commence à démarrer), pressez de façon répétée sur la touche permettant d’accéder au BIOS. Il s’agit très souvent de la touche F1, F2 ou DELETE.
- Une fois arrivé dans le BIOS, allez dans l’onglet “Config” (capture)
- Rendez-vous dans le menu “Intel(R) AMT” (capture)
- Sous “Intel (R) AMT Control“, choisissez “Permanently Disabled” afin de désactiver de façon permanante la technologie AMT. (capture)
- Sauvegardez vos modifications et redémarrez la machine
- Réactivez maintenant BitLocker (si applicable)
- Lorsque vous avez terminé les modifications du système, cliquez sur Rétablir la protection dans l’élément du Panneau de configuration Chiffrement de lecteur BitLocker pour démarrer à nouveau le chiffrement de lecteur BitLocker.
- Terminé
Comment désactiver AMT (méthode générique) ?
- Si votre machine tourne sous Windows et utilise le chiffrement de disque BitLocker, suspendez-le temporairement :
- Cliquez sur Démarrer, Panneau de configuration, Système et sécurité, puis sur Chiffrement de lecteur BitLocker.
- Cliquez sur Suspendre la protection pour le lecteur du système d’exploitation.
- Un message est affiché, qui vous informe que vos données ne seront plus protégées tandis que BitLocker est suspendu et vous demande si vous voulez suspendre le chiffrement de lecteur BitLocker. Cliquez sur Oui pour continuer et suspendre BitLocker sur le lecteur.
- Redémarrez la machine (ou éteignez puis rallumez-la).
- Dès les premiers signes d’activité (avant que le système d’exploitation ne commence à démarrer), pressez de façon répétée sur CTRL+P. Après quelques instants, vous devriez voir un message s’afficher à l’écran vous indiquant que Intel “MEBx” ou “Intel ME” est en cours de chargement. Si rien ne se passe, consultez les procédures d’accès à la console MEBx spécifiques à certains matériels en bas de page.
- Sélectionnez “MEBx Login” et entrez le mot de passe “admin” (sans les guillemets). (capture 1)(capture 2)
- Vous devriez désormais avoir une invite vous demandant d’introduire à deux reprises un nouveau mot de passe. Il doit être complexe (lettres min/maj + chiffre(s) + caractère spécial), faut de quoi il sera refusé. Si tel est le cas, recommençez l’opération depuis le point 5 et choisissez un mot de passe plus complexe. (capture)
- Allez dans le menu “Intel (R) AMT Configuration“. (capture)
- Sélectionnez la première entrée, “Manageability Feature Selection” et choisissez “Disabled“. (capture 1)(capture 2)
- Vous devez encore confirmer cette opération en entrant “Y” pour “Yes”. Attention, suivant la disposition de votre clavier, vous pourriez avoir à choisir “Z”. Il faudra attendre de 5 à 30 secondes avant que votre sélection soit prise en compte. (capture 1)(capture 2)
- Quittez le menu “Manageability Feature Selection” grâce à la touche “ESC“.
- Quittez l’interface de gestion AMT (MEBx) en sélectionnant “MEBx Exit“. (capture)
- La machine va automatiquement redémarrer.
- Réactivez maintenant BitLocker (si applicable)
- Lorsque vous avez terminé les modifications du système, cliquez sur Rétablir la protection dans l’élément du Panneau de configuration Chiffrement de lecteur BitLocker pour démarrer à nouveau le chiffrement de lecteur BitLocker.
- Terminé
Procédures spécifiques
- Lenovo ThinkPad série T : CTRL+P de façon répétée dès le lancement de la machine (pas de l’OS). Certains anciens matériels demandent encore de presser sur la touche “1” après que le CTRL+P ait été pris en compte (vous êtes clairement invités à le faire)
- DELL OptiPlex et Precision (postes de travail) : L’appel via CTRL+P fonctionne sans autre manipulation préalable.
- DELL Latitude (anciens modèles) : Seulement si CTRL+P ne fait apparaitre le menu MEBx. Presser F2 de façon répétée dès le lancement de la machine afin d’atteindre la page de configuration du BIOS. Vous trouverez la fonctionnalité “MEBx hotkey” dans les menus du BIOS et il faut l’activer. Redémarrez la machine et reprenez au point 3. Si cette entrée est absente, la machine ne dispose pas de la technologie VPro/AMT et vous n’êtes pas à risque.
- HP : Durant la première phase du boot, “tapotter” la touche ESC. Dans le menu de démarrage, sélectionner “ME Setup (F6)” puis taper ENTER