Sécurité au niveau Matériel

• Serrures…

Pour l'ordinateur, l'écran, le disque externe, l'imprimante…

• Câble antivol

• Bons constructeurs d'ordinateurs

• Certains modèles de PC fixes disposent d'un emplacement pour cadenas pour empêcher l'ouverture du capot de l'ordinateur de bureau. Ce qui n'est pas le cas des ordinateurs portables, il ne peuvent être protégés contre les intrusions physiques (ouvertures).
• Certains boitiers de PC fixes possèdent un contacteur qui détecte l'ouverture et tracent la date et l'heure de l'accès à l'intérieur du PC. Ce fichier est consultable au niveau du BIOS

Le retrait de la pile de la carte mère efface les mots de passe éventuellement entrés dans le bios (pour par exemple empêcher de changer l'ordre de démarrage des disques et donc empêcher de booter depuis un CD ou disque dur externe, ce qui donne accès aux disques internes sans devoir se connecter par le système d'exploitation quel qu'il soit). Les ordinateurs portables ne peuvent être protégés contre les intrusions physiques (ouvertures).

• Cadenas pour empêcher l'ouverture du capot de l'ordinateur de bureau.
• Crypter les disques ou partitions pour protéger le contenu.

Mon PC est-il OK par rapport au “pilote Intel ME (Management Engine)” ? https://search.lilo.org/results.php?q=pilote%20Intel%20Management%20Engine%20&page=1

Le Computrace mouchard universel présent sur Windows, Mac, Android, depuis 2005. 20 mai 2014 — https://korben.info/computrace-lojack-absolute.html

Computrace se divise en 3 modules présents dans l’option ROM PCI qui est chargée ensuite par le BIOS de la machine.

• Computrace Loader Module : Module de chargement lu par le BIOS et capable d’appeler le module d’installation.
• Agent Installation Module : Module qui installe l’agent sur Windows.
• Agent : L’agent en lui-même qui est ensuite présent et fonctionnel sous Windows.

Cette « option » Computrace est présente dans une partie non modifiable du BIOS, elle est normalement visible dans le BIOS des machines (masqué dans certains) et est mise en place par tous les fabricants partenaires (Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Micro$oft, Panasonic, Samsung, Sony, Toshiba, ???).

Il utilise autochk.exe, son agent System32\rpcnetp.exe, rpcnet.exe, rcpnetp.dll, un processus masqué utilisant iexplore.exe (Internet Explorer). Il permet un accès distant et complet (tracking et prise de contrôle à distance). Computrace marque la machine d'un ID unique.

Micro$oft l’avait reconnu comme malveillant et nommé Win32/BeeInject, maintenant en liste blanche.

Pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l’un des processus suivants est lancé :

• rpcnet.exe
• rpcnetp.exe
• 32 bitsvchost.exe (tournant sur un OS en 64 bits)

Bloquer les connexions de l’agent : entrer les URL ci-dessus (voire l'article) dans votre fichier Hosts en les faisant pointer vers votre adresse localhost (127.0.0.1).

Vérifier si vous êtes infecté, si vous êtes sous Windows, lancez le logiciel Computrace Lojack Checker. Il patche automatiquement votre fichier host. https://korben.info/computrace-outil-verifier-etes-infecte.html

Et son équivalent grand public : LoJack.

Absolute n’est pas le seul sur ce marché…

FailSafe dans les BIOS de Phoenix Technologies (en mode SMM avec tous les privilèges) et sous le nom de VPro sur les puces Intel.

Peu importe l’OS, ces technologies sont capables d’exploiter directement le matériel (carte WiFi, GPS, etc.).

Opter pour du matériel libre

http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=publication&name=Deactivate_the_Rootkit
http://www.absolute.com/en/partners/bios-compatibility
http://www.absolute.com/en/resources/whitepapers/absolute-persistence-technology
https://www.google.com/patents/US20060272020
http://en.wikipedia.org/wiki/LoJack
http://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS (Ru)

backdoor — malveillant — mouchard — tracking — contrôle à distance