Une attaque à venir sur la technologie Intel TXT pour les TPM des produits vPro

Par Xavier Poli, secuobs.com
Le 06/01/2009

---

Résumé : La société Invisible Things Lab aurait trouvé des possibilités d'exploitation à partir d'une faille de conception dans la technologie Intel TXT (Trusted Execution Technology) qui se base sur l'utilisation des fonctionnalités TPM (Trusted Platform Module) des produits de la branche vPro de la marque. - Lire l'article



Lors de la prochaine édition des conférences Black Hat ( lien ) qui se tiendra dans la ville de Washington DC lors du mois de Février 2009, les 18 et 19 février plus précisément, la société polonaise Invisible Things Lab ( lien ) va être amenée à réaliser une présentation sur les insécurités qui sont relatives à l’’utilisation des fonctionnalités de la technologie Intel TXT ( Trusted Execution Technology - lien ).

Rafal Wojtczuk, spécialiste en virtualisation et en sécurité des noyaux, et Joanna Rutkowska, connue mondialement pour ses recherches sur les Rootkits ( lien ), y présenteront les différents résultats issus de leurs recherches sur cette technologie qui peut être utilisée par Vista Bitlocker ( lien ) sans néanmoins pour autant être impérativement nécessaire à son fonctionnement.

Concrètement, Intel TXT ( Trusted Execution Technology ) est une technologie dite d’exécution de confiance ; anciennement connue sous le nom de LaGrande ( lien ), elle fait partie des différentes technologies incluses dans la branche vPro ( lien ) des produits de marque Intel. Intel TXT est en fait l’un des composants phares issus des initiatives menées depuis un certain temps par Intel en vue d’offrir des environnements d’exécution plus sécurisés pour les usagers des systèmes informatiques modernes.

La technologie Intel TXT est plus précisément basée sur un ensemble d’extensions qui ont été développées à destination des processeurs et des chipsets produits par la société Intel. Elle fait partie des implémentations de la notion de gestion de confiance des exécutions applicatives ; cette notion ayant été principalement symbolisée par les technologies Trusted Platform Module ( TPM - lien ), LaGrande et Microsoft Palladium aussi connue sous le nom de NGSCB ( lien ).

Microsoft Palladium fut par ailleurs une source intarissable de controverses dès l’annonce de son développement. Cette technologies ayant plus été perçue comme une nouvelle possibilité pour Microsoft et ses partenaires de contrôler les actions « répréhensibles » des utilisateurs, et notamment les échanges P2P ( lien ) voir parfois l’utilisation de systèmes d’exploitation alternatifs comme les systèmes GNU/Linux, que comme une réelle avancée en matière de sécurité informatique pour les utilisateurs finaux.

L’attaque devrait se décomposer en deux phases bien distinctes. La première consiste en la compromission d’un système applicatif propre à Intel et dont l’identité n’est pas connue au jour d’aujourd’hui ; les chercheurs attendent une mise à jour pour publlier afin de ne pas mettre en danger la sécurité des utilisateurs. La seconde fera quant à elle appel à une faille présente dans la conception même de la technologie Intel TXT ; une preuve de concept serait par ailleurs déjà existante et fonctionnelle.

Comme toutes les failles propres à la conception d’une technologie, il sera difficile pour les développeurs de trouver une solution rapide afin d’endiguer les conséquences éventuelles de compromission, cependant Intel semble optimiste quant à l'issue de cette affaire. La société Invisible Things Lab travaille actuellement avec eux de façon active afin de restreindre les possibilités d’exploitation relatives à la première phase de l'attaque ; une mise à jour étant prévue et annoncée pour les semaines à venir.

Les deux sociétés sont également en relation en ce qui concerne la faille de conception liée à la deuxième phase de l’attaque et propre à la conception même de la technologie d’exécution de confiance Intel TXT. A noter que ces différentes failles ont pu être découvertes suite à la demande d’un client de la société Invisible Things Lab qui souhaitait faire réaliser un audit de la technologie Intel TXT en vue de l’utiliser au sein de ses propres solutions.

Intel TXT est une technologie récente, peu de solutions l'utilisent à l’heure actuelle et les usagers concernés par les risques relatifs à cette attaque sont encore peu nombreux ; à l’aide du module tboot ( lien ) , le logiciel de virtualisation Xen ( lien ) reste par exemple l’un des rares produits à intégrer ces fonctions. C’est justement ce module qui a été choisi par les chercheurs afin de prouver l’exploitabilité de ces failles ; le succés n’étant cependant en rien imputable à une quelconque vulnérabilité présente dans le module en question.

Bien que cette technologie soit peu utilisée dans le monde pour l’instant, la nature sensible de son champ d’application implique néanmoins que cette attaque mérite d’être prise hautement en considération par les responsables de la société Intel. Cette technologie pourrait en effet avoir dans un futur plus ou moins proche une influence majeure sur la sécurité informatique globale à condition bien sûr qu’elle ne participe pas, par ses propres faiblesses, à l’insécurité ambiante qui y règne.

A savoir également qu’il existe des possibilités pour que le champ d’exploitation de l’attaque en question puisse éventuellement être plus largement étendu à la compromission de la sécurité de l’ensemble de l’infrastructure vPro d’où l’urgence imposée à Intel de résoudre ce problème d’insécurité au plus vite vis-à-vis de l’image de ces technologies auprès de gros clients (agences gouvernementales, etc.) qui souhaiteraient à l’avenir utiliser ces fonctionnalités.

Source : Blog Invisible Things Lab ( lien )