Composants

Inscrivez-vous flux rss

imprimer cet article envoyer à un ami recevoir les newsletters contacter la rédaction s'abonner au flux rss partager

Deux chercheurs mettent à l'épreuve la sécurité du vPro d'Intel


Edition du 06/01/2009 - par Marie Caizergues

Deux chercheurs polonais d'Invisible Things Labs ont réussi à compromettre la sécurité de la technologie de virtualisation matérielle vPro d'Intel. Pour ce faire, ils ont exploité deux failles du système.

Rafal Wotjczuk et Joanna Rutkowska, deux chercheurs polonais des laboratoires d'Invisible Things, viennent de trouver une méthode pour s'attaquer à la plateforme de virtualisation sur processeur vPro d'Intel. Ils affirment avoir écrit un programme qui compromet l'intégrité de logiciels chargés via la fonction Trusted Execution Technology (TXT) implantée dans vPro. Or, le rôle même de cet outil est de protéger les logiciels installés dans une machine virtuelle, par exemple, en empêchant qu'ils ne soient visibles ou accessibles par les autres applications présentes sur la machine physique.

L'attaque se déroule en deux étapes. Elle s'appuie d'abord sur une vulnérabilité du logiciel système d'Intel que les deux chercheurs ne souhaitent pas dévoiler publiquement avant qu'elle soit corrigée. Ensuite, le processus exploite un défaut de conception au sein de TXT. Ce dernier semble le point le plus difficile à éviter : « il n'est pas évident de dire la façon dont Intel devrait régler le problème exploité dans la seconde partie de notre attaque, insiste Joanna Rutkowska. Ils affirment pouvoir y arriver par une mise à jour des spécifications de TXT. »

Les deux chercheurs présenteront leur découverte plus en détail lors de la prochaine conférence Black Hat sur la sécurité qui aura lieu du 16 au 19 février prochain à Washington. D'ici là, ils collaborent avec Intel pour trouver une solution et se veulent rassurants. La combinaison TXT/vPro n'est commercialisée que depuis un an et peu de programmes sont pour l'instant compatibles. Donc, peu d'ordinateurs sont susceptibles d'être compromis par cette attaque. En revanche, elle crée un précédent fâcheux pour la réputation de vPro et pourrait inciter d'autres hackers, peut être plus attirés par le profit que par l'exploit intellectuel, à s'y intéresser.




envoyer recevoir
imprimer commenter
0 commentaires postés >> Tous les commentaires

L'ACTUALITÉ DU JOUR
Emploi Les salariés de Nortel Networks SA poursuivent leur grève

(10/07/2009 17:21) - Depuis quatre jours, un collectif de salariés de Nortel Networks SA France conduit (...)

Législation La justice française tente de reconnaître l'adresse IP comme une donnée personnelle

(10/07/2009 17:06) - En guerre contre les sites de partage de vidéo depuis deux ans, l'humoriste Jean-Yves (...)

Business Jolicloud lève 4,2 M$ pour développer son OS destiné aux netbooks

(10/07/2009 17:04) - Jolicloud, une start-up qui développe un système d'exploitation personnalisable pour (...)

Internet Silverlight 3 disponible avant son lancement officiel

(10/07/2009 16:48) - Alors que le lancement de la version 3 de Silverlight doit officiellement avoir lieu (...)

Société NKM expose à la Cnil ses initiatives sur la protection des données personnelles

(10/07/2009 16:45) - Nathalie Kosciusko-Morizet a été a été reçue le 9 juillet 2009 par la Cnil (Commission (...)

Systèmes d'exploitation Commentaires et questions en pagaille sur Google Chrome OS

(10/07/2009 12:50) - Est-ce de la précipitation - pour faire de l'ombre à Microsoft (dont Windows 7 doit (...)

LE TOP
  1. USI 2009 : il faut douter pour inventer, explique le Boston Consulting Group
  2. Les chutes du Niagara alimenteront le prochain datacenter Yahoo!
  3. USI 2009 : Joël de Rosnay prédit la généralisation des échanges pair à pair
  4. Le Centre d'analyse stratégique imagine la société numérique de 2025
  5. Hadopi II : le Sénat valide le tout répressif



SONDAGE FLASH

En tant que salarié, envisagez-vous de télétravailler ?

CONFERENCES
22/09/2009
DECISIONNEL
De 8h30 à 11h00 à l'hôtel Prince de Galles
conférences
TOUTES LES
CONFERENCES
PARTNER ZONE
LIVRES BLANCS
Vue d'ensemble des datacenters : un impératif commercial 8 juillet 2009 - AVOCENT
Vue d'ensemble des datacenters : un impératif commercial
La situation économique actuelle oblige les entreprises à se pencher sur leur fonctionnement interne afin d'optimiser leurs structures existantes et notamment (...)
8 juillet 2009 - SYMANTEC
Les risques de perte de données en période de crise - Étude du Ponemon Institute
7 juillet 2009 - EMBARCADERO TECHNOLOGIES
Embarcadero ouvre son portefeuille de produits avec les "Pass All-Access"