Journal Computrace, une backdoor pour votre plus grand bien

47
20
mai
2014

Bon journal ? En tout cas mauvaise nouvelle.

Il y a de ça quelques mois, la société Kaspersky découvre un logiciel malveillant installé sur au moins 2 millions d'ordinateurs.
Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.

Par la suite il est capable :

  • De sécuriser les données d'un parc de postes à distance
  • De déployer toujours à distance des mises à jour, des licences ou de lancer des audits
  • De géolocaliser des ordinateurs volés
  • De produire des rapports concernant les machines
  • De récupérer des fichiers
  • D'effacer à distance des documents ou tout le disque dur

Avec l'accord des constructeurs sinon ça ne serait pas drôle …

Quelques questions viennent donc à mon esprit:

  • Peut-on blamer les constructeurs ? Finalement personne ne lit les conditions d'utilisations.
  • Pensez vous que ce type de pratique est rendu indispensble par des lois comme le Patriot Act ?

On pourra toujours dire que rms et la FSF sont à côté de la plaque. Au final, je me dis qu'ils avaient raison sur pratiquement tout … J'ai parfaitement conscience que le problème est on ne peut plus complexe : Economique, social, culturel etc…

J'aimerai juste conclure ainsi : J'ai grandi sur internet et dans l'informatique libre, j'y ai tellement apris des autres, de vous tous. Donc dès que j'ai mon salaire, je ferai un don à la FSF, la Quadrature du net, Framasoft, et Linuxfr qui protège nos libertés et notre culture. Parce que vous pouvez pas savoir à quel point j'aime tout ça, vous y compris ;)

Et je vous invite comme moi à faire le premier pas, ou à réitérer.

Voici la source :
http://korben.info/computrace-lojack-absolute.html

  • # Backdoor IBM antivol de PC ?

    Posté par . Évalué à 1. Dernière modification le 21/05/14 à 03:48.

    Ca existe depuis de nombreuse années chez IBM,
    en prenant une option payante a l'année,
    tu peut bloquer ton PC a distance le rendant inutilisable par un voleurs puisque tous ce passe au niveau du bios.

    Même la NSA pourrait très bien s'en servir contre toi pour d’espionné tous comme les gentil pirate.

    Mon X201 est impacter, il ne me reste plus qu'a lui installer coreboot.

    Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

    • [^] # Re: Backdoor IBM antivol de PC ?

      Posté par . Évalué à 5. Dernière modification le 21/05/14 à 07:41.

      comment ils bloquent un PC qui ne se connecte pas à un reseau ?
      y a aussi une puce GSM avec un forfait reception de SMS ?

      sinon, computrace n'est pas nouveau, c'etait une idée basée ou à l'origine de TPM,
      que l'on voit maintenant aussi avec les EFI avec demarrage signé qui empeche un OS non signé d'etre installé.

      l'idée c'etait de garantir que le systeme n'a pas été corrompu par un virus, modifié par l'utilisateur, etc
      computrace poussant le concept plus loin en permettant tout ce que tu dis,

      mais ca doit avoir au moins 5 ou 6 ans et ca serait activable (opt-in) dans le BIOS/EFI

      • [^] # désactivable ?

        Posté par (page perso) . Évalué à 6.

        oui, c'est désactivable, parfois…

        • certains bios ont la fonctionnalité, mais elle n'apparaît pas dans le setup !

        • ceux qui ont l'option dans le setup et qui l'ont désactivé ne sont pas à l'abri de la voir réactivée par voie logicielle (suite à un téléchargement malencontreux par exemple, ou une màj de "sécurité") !

        l'article dit que la société qui gère ce composant n'a la trace que d'une petite partie de ces activations, ce qui laisse penser que la fonctionnalité est utilisée par d'autres entités (pirates ou NSA…)

        Envoyé depuis mon Archlinux

      • [^] # Re: Backdoor IBM antivol de PC ?

        Posté par . Évalué à 4.

        Il y a dans l'option un choix du nombre de jours dans le quelle on peut rester non connecter ( 21 par défaut ),
        au delà le PC portable ce bloque automatiquement et est donc inutilisable.

        Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

    • [^] # Re: Backdoor IBM antivol de PC ?

      Posté par . Évalué à 7. Dernière modification le 21/05/14 à 13:28.

      Vu que ce n'est pas dans le BIOS, mais dans une partie distincte et non-modifiable, comment être sûr que remplacer le BIOS par coreboot soit suffisant ?

  • # Peut-on blamer les constructeurs ?

    Posté par (page perso) . Évalué à 6.

    Peut-on blamer les constructeurs ? Finalement personne ne lit les conditions d'utilisations.

    Pas vraiment, par curiosité j'ai cherché Dell et Computrace et visiblement c'est une fonctionnalité permettant tout ce qui est listé dans le journal. Et j'ai aussi trouvé un tweet de Dell prévenant d'une faille de sécu potentielle dans computrace.

    Bref, ça part je pense d'une bonne intention. Le problème ce sont les conséquences d'une faille dans le système, son activation par défaut et le manque de transparence. Google et Apple propose des systèmes pour formater à distance les terminaux volés. Les problèmes sont identiques et ils s'en cachent pas.

    C'est aux gens de réfléchir et faire savoir qu'ils n'en veulent pas.

    • [^] # Re: Peut-on blamer les constructeurs ?

      Posté par . Évalué à 5.

      C'est aux gens de réfléchir et faire savoir qu'ils n'en veulent pas.

      C'est vrai, je vais écrire à Dell et leur dire que j'en veux pas. Et comme j'aurai employé un ton très convaincant, ils vont m'écouter et retirer cette fonctionnalité… ou pas.

      • [^] # Re: Peut-on blamer les constructeurs ?

        Posté par . Évalué à 9.

        Alors que, evidemment, ils lisent linuxfr, et donc ils vont retirer la fonctionmalite apres avoir lu tom commentaire.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

      • [^] # Re: Peut-on blamer les constructeurs ?

        Posté par (page perso) . Évalué à 10.

        Quand on pense… Qu'il suffirait que les gens ne les achètent plus pour que ça se vende pas !

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Peut-on blamer les constructeurs ?

          Posté par . Évalué à 8.

          Le gros problème c'est que ce type de pratique est normalisé : "C'est pour votre bien"
          Et comme beaucoup de personnes n'ont ni les compétences, et ni l'envie de s'y intéresser, ils vont faire comme d'habitude, attendre l'abus pour pleurer : "Faut sanctionner les constructeurs - c'est la faute du gouvernement" etc …

          Petit à petit les gens se privent eux même de leurs libertés, et la seul chose qu'on puisse faire d’efficace, c'est de les informer.

          • [^] # Re: Peut-on blamer les constructeurs ?

            Posté par (page perso) . Évalué à 10.

            Ah mais je suis convaincu que la majorité des gens à qui j'expliquerais ce genre de truc trouverais ça très bien.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Peut-on blamer les constructeurs ?

          Posté par . Évalué à 10.

          Sauf que si ça ne se vend pas, ils vont accuser le piratage (ou autre chose), et demander à toucher quand même leur argent.

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: Peut-on blamer les constructeurs ?

            Posté par . Évalué à 10.

            Comme on dit, ils osent tout, c'est même à ça qu'on les reconnaît :-)

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: Peut-on blamer les constructeurs ?

      Posté par (page perso) . Évalué à 5.

      Le problème ce sont les conséquences d'une faille dans le système, son activation par défaut

      Ce n'est pas activé par défaut dans les dell (j'en ai trois : inspiron, latitude, precision)

  • # Article trop alarmant surfant sur le sensationnalisme ?

    Posté par . Évalué à 0.

    L'article termine sur une note alarmiste mais, au fond, la portée du "scandale" semble plutôt limitée : la plupart des ordinateurs listés dans les tableaux ont une option dans le BIOS/UEFI qui permet de d'éteindre manuellement ou de désactiver de manière permanente la fonction incriminée. Il suffit (si j'ai bien compris) de désactiver définitivement la fonction via le BIOS/UEFI pour résoudre le problème.
    En tout cas, j'ai jeté un coup d'œil sur les ordinateurs que j'ai sous la main et qui sont listés dans les tableaux, tous ont une option dans le BIOS/UEFI permettant de désactiver définitivement Computrace (ordinateurs portables DELL, Thinkpad et autres Lenovo).

    Finalement il ne resterait plus qu'une minorité de machines ne proposant pas de désactiver l'option dans le BIOS/UEFI qui pose problème (bon, ça n'en reste pas moins intolérable mais ça relativise la portée de Computrace). Un gros ramdam des utilisateurs sur les réseaux sociaux contres les constructeurs incriminés est sans doute la meilleure façon de faire avancer les choses.

    • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

      Posté par . Évalué à 8. Dernière modification le 21/05/14 à 11:29.

      Dans la mesure où on ne peut connaître le fonctionnement exact, par exemple si l'option reste réactivable à distance et/ou silencieusement, je ne pense pas que ce soit du sensationnalisme. On est beaucoup à ne plus se satisfaire du discours :"Faites nous confiance, on vous jure que blablabla"

      Je comprend que ce genre de fonctionnalités puissent être utiles, mais AMHA c'est à l'os ou à un logiciel de répondre à ce besoin, pas à un module obscure dans le bios qui restera présent quoi qu'il arrive :/ (sauf coreboot)

      • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

        Posté par (page perso) . Évalué à 4.

        AMHA c'est à l'os ou un logiciel de répondre à ce besoin

        Ce qui voudrait dire qu'il suffit de réinstaller la machine pour contourner la protection.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

          Posté par . Évalué à 2.

          Tout comme il suffit de bloquer les ips/ports utilisés par Computrace non ?
          Je suis pas vraiment sûr que son intégration avant le chargement de l'os soit pour des besoins de "protections"

          • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

            Posté par (page perso) . Évalué à 4.

            Ça dépend comment le logiciel fonctionne (ou est configuré), il pourrait très bien bloquer le système s'il n'a pas pu joindre le service pendant un certain temps. Ça peut être plus vicieux aussi, s'il arrive à se connecter à Google mais pas à son site, il met en place le blocage.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

        Posté par . Évalué à 2.

        Ben non. Le but de genre de friture est de survivre à une reinstallation de l'OS ou un changement de DD. Avec un soft, c'est impossible. Donc mettre ça dans le BIOS est très censé.
        Après sur le fond, il faudrait voir en vrai comment ça marche et si la "physical presence" est vraiment nécessaire, comme c'est imposé par exemple par spécification sur les TPM (au moins 1.2).

      • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

        Posté par (page perso) . Évalué à 3.

        mais AMHA c'est à l'os ou à un logiciel de répondre à ce besoin, pas à un module obscure dans le bios

        Ou une option, par exemple pour ma carte-mère le module TPM est une option achetable séparément.

        Bon alors OK, peut-être que pour certains cas d’usage, le fait que ça soit enlevable ne répond pas au problème.

        Si j’utilise TPM pour vérifier l’intégrité du système que moi j’ai installé et configuré (par exemple vérifier la signature du GRUB qui déchiffre mon volume LUKS), alors cette option peut être enlevable-de la carte mère sans que ça permette à un pirate de déchiffrer mon disque.

        Par contre si j’utilise TPM pour empêcher mon client d’installer autre chose que Windows 8 sur l’ordinateur que je lui vend, le fait que cette option soit enlevable de la carte-mère lui permettrait de contourner la protection.

        Idem avec Computrace, il y a probablement des tas d’usages légitimes où le module pourrait être optionnel et enlevable (on perd donc la fonctionnalité).

        Mais si le fait que ça ne puise pas pouvoir être enlevé est une fonctionnalité, alors le problème ne peut pas être résolu sans dommages collatéraux.

        dans le bios qui restera présent quoi qu'il arrive :/ (sauf coreboot)

        À ce que j’ai compris, l’option est contrôlable (ou pas) dans l’interface du BIOS, mais ce n’est pas le BIOS qui gère ça, tout comme le BIOS te permet de gérer l’ordre de boot de tes disques durs, mais le BIOS n’est pas ton disque dur.

        ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

      Posté par (page perso) . Évalué à 5.

      C'est exactement ce que je disais à un ami hier qui m'avait passé le lien. Dans sa présentation des choses, je trouve que cela fait théorie du complot.

      L'intro déjà :

      Et si je vous disais qu'il y a dans votre ordinateur un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et dont vous n'avez jamais entendu parler ?

      puis

      Le plus flippant là dedans, c'est qu'après les révélations de Kaspersky, personne ou presque n'en a parlé dans la presse ou sur les sites spécialisés. Bouuuh !

      Si ça, c'est pas du complot…

      Seul Toshiba a reconnu avoir pré-installé Computrace sur ses machines. Les autres ne se sont pas exprimés sur le sujet.

      Ah bon ? Pourtant j'étais tombé sur un tweet de Dell qui donnait ce lien : http://securitywatch.pcmag.com/software/320768-attackers-can-use-computrace-anti-theft-tool-to-remote-wipe-pcs

      J'ai l'impression qu'ils assument le fait que ce soit installé… Et puis sur leur site :
      http://www.dell.com/content/topics/global.aspx/services/prosupport/computrace?c=us&l=en&cs=04
      http://www.dell.com/downloads/global/services/prosupport/en/us/Laptop%20Tracking%20Recovery%20US.pdf

      Et pour conclure :

      Computrace travaille-t-il avec des agences de renseignement et des gouvernements ? Des attaques exploitant Computrace ont-elles déjà eu lieu ? Impossible à savoir pour le moment.

      Computrace est-il utilisé par des organismes gouvernementaux à l'insu d'Absolute, pour accéder à nos machines quand bon leur semble ? (Comprenez : La NSA a-t-elle quelque chose à voir là-dedans ?)

      Pour cette dernière question, vu tout ce qu'on a appris durant cette année sur la surveillance globale (merci, Snowden), y compris durant l'affaire Heartbleed, on est en droit de penser que oui.

      Bref, c'est très bien d'informer et j'ai moi-même relayé cet article. Mais il cherche le buzz.

      • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

        Posté par . Évalué à 9. Dernière modification le 21/05/14 à 15:10.

        Personnellement, je trouve la toute dernière phrase légitimise tout son discours :

        Pour cette dernière question, vu tout ce qu'on a appris durant cette année sur la surveillance globale (merci, Snowden), y compris durant l'affaire Heartbleed, on est en droit de penser que oui.

        Alors oui ça fait théorie du complot, mais soyons franc : tout ce que fait la NSA, sans Snowden, ça nous paraissait trop gros. Pourtant tout ce qui a été révélé est vrai (l'agence a même reconnu connaître la faille Heatbleed depuis un moment), donc ses extrapolations ne sont plus du tout irréalistes.

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

          Posté par (page perso) . Évalué à 2.

          Ce n'est en effet pas irréaliste, mais ça reste une remarque gratuite..
          C'est en effet douteux comme procédé et ça inspire très clairement la méfiance mais sans preuves supplémentaires on ne peut directement conclure sur les possibilités qu'à la NSA avec cet outil.

          • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

            Posté par . Évalué à 9.

            on ne peut directement conclure sur les possibilités qu'à la NSA avec cet outil.

            Permets-moi de ne pas être aussi optimiste : on parle tout de même de la NSA. Est-ce qu'ils se sont gênés pour le reste ?

            On découvre une faille très grave dans SSL, et comme par hasard la NSA la connaissait déjà et mieux, l'utilisait avec l'aval du gouvernement US.
            Le dernier scandale en date : les routeurs Cisco embarquent un mouchard.

            Avec tout ça, la seule réaction raisonnable est de s'attendre au pire. Ne t'inquiète pas, les preuves vont arriver au compte-goutte, comme d'habitude : beaucoup de données issues de la fuite de Snowden n'ont pas encore été publiées.

            Bref, cette remarque n'est pas gratuite, elle traduit la défiance actuelle des informaticiens vis-à-vis des États.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

              Posté par (page perso) . Évalué à 3.

              Être méfiant c'est bien, et je suis conscient du risque réel.
              Là tu dis qu'il a le droit d'extrapoler, je dis que non, car nous n'avons pas la preuve de son utilisation. Mais ils le font peut être.

              Bref tu parles de probabilité, je parle de certitudes, je pense que nous sommes d'accord sur le fait que ça sent mauvais.

              • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

                Posté par . Évalué à 8.

                Oui, nous sommes d'accord sur le fond mais pas sur l'interprétation.

                Je me dis juste que pour une agence de renseignement et d'espionnage, avoir à sa disposition un outil potentiellement utilisable depuis 2005 sur de nombreuses machines est loin d'être négligeable, surtout s'il est légalement distribué par une entreprise basée aux USA et donc sous le coup de la loi…

                Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

              Posté par (page perso) . Évalué à 3.

              Tu déformes quand même beaucoup le contenu de l'article.

              On passe de « certains matériels vendus à des personnes (morales ou non) bien particulières sont piégés » à « (tous) les routeurs Cisco embarquent un mouchard ».
              Le premier ne me choque pas du tout sur le concept (ça n'a a priori rien d'une surveillance massive), alors que le deuxième est bien plus dérangeant.

            • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

              Posté par (page perso) . Évalué à 1.

              Le dernier scandale en date : les routeurs Cisco embarquent un mouchard.

              C'est marrant, l'article que tu montres ne dit pas du tout la même chose. Ce que tu dis est clairement que Cisco planque une backdoor dans son OS et donc dans tout ses équipements, avec le contenu de l'article il est clairement indiqué que ce sont des personnes extérieures à Cisco qui le font pour certains équipements stratégiques.
              Dans le premier cas, je suis clairement pas concerné, dans le second je ne suis pas vraiment visé.

              Opera le fait depuis 10 ans.

    • [^] # Re: Article trop alarmant surfant sur le sensationnalisme ?

      Posté par . Évalué à 2.

      Le programme dans la ROM sert à installer un programme dans ton système d'exploitation qui va lui ensuite se mettre à jour par internet.

      Donc si tu désactive l'option du BIOS, le programme qui est installé dans ton système d'exploitation sera toujours présent et continuera à fonctionner. Il pourra par exemple recevoir l'ordre de réactiver l'option du BIOS…

  • # c'est vieux

    Posté par . Évalué à 10.

    Il y a de ça quelques mois, la société Kaspersky découvre un logiciel malveillant installé sur au moins 2 millions d'ordinateurs.
    Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.

    Ils ont l'air a la ramasse, en faisant une recherche sur le net, je suis tombé sur un article de 2009 qui explique le fonctionnement de computrace :
    http://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf

  • # Tout le monde n'est pas affecté... Et vous ?

    Posté par . Évalué à 8. Dernière modification le 21/05/14 à 20:20.

    Ordi ASUS, série N, tout récent… Le constructeur est dans la liste, quelques ordis N* aussi, mais pas la série N56, et encore moins le N56VV qui est le mien. :)

    Rien dans l'UEFI, aucun fichier rpcn* dans SysWOW64 ni System32 (ni ailleurs), aucun processus rpcn*, rien dans le Registre, rien dans les services, …

    (et sinon, oui Korben cherche constamment le buzz).

    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

    • [^] # Re: Tout le monde n'est pas affecté... Et vous ?

      Posté par . Évalué à 3.

      Mon X31 et probook 4515s ne sont pas touché,
      c'est pas le cas du X201. :/

      Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

      • [^] # Re: Tout le monde n'est pas affecté... Et vous ?

        Posté par . Évalué à 3.

        Mon Lenovo en fait parti !
        Ceci dit, la fonctionnalité était désactivée dans le BIOS, n'as pas été réactivée donc le soft est clean.
        J'ai activé l'option "désactiver définitivement" dans le BIOS, mais cela étant, je n'ai aucune garantie qu'il ne puisse pas être réactivé.

        • [^] # Re: Tout le monde n'est pas affecté... Et vous ?

          Posté par . Évalué à 2.

          C'est bien pour cela que installé COREBOOT peut éventuellement l’arrêter définitivement et être a labrit d'une éventuelle remise en route ci les DEV y on penser. ;)

          Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.