Surprise !
Rocket Raccoon…
La faille de sécurité récemment découverte dans les processeurs d’Intel, plus exactement dans la fonctionnalité Active Management Technology (AMT), a permis de dévoiler un détail intéressant au sujet de ces processeurs : l’Intel Management Engine (ME) repose sur MINIX 3, un système d’exploitation open-source développé par Andrew S. Tanenbaum depuis 2005 (la première version de MINIX date toutefois de 1987 et a servi de base à Linux). Mais ce « léger détail » était jusqu’à présent resté bien caché par les ingénieurs d’Intel, et même Tanenbaum n’était pas au courant que son OS était de fait le plus utilisé dans le monde !
Lettre ouverte surréaliste du créateur de MINIX à Intel
…Rocky RaccoonLe célèbre développeur – aujourd’hui à la retraite, même s’il continue à écrire et participer à des conférences – a rédigé une lettre ouverte à Intel, dans laquelle il explique être surpris de découvrir la présence de MINIX dans les processeurs Intel récents. Les ingénieurs du constructeur l’avaient bien contacté à de nombreuses reprises au sujet de MINIX il y a quelques années, demandant même quelques modifications afin de réduire l’empreinte mémoire du micro-kernel, sans toutefois indiquer l’utilisation qu’ils comptaient en faire. Il pensait alors à des contrôleurs Ethernet ou autres puces graphiques.
Il ajoute ne pas chercher une quelconque rétribution financière, mais regrette en revanche de ne pas avoir été à minima mis au courant de l’utilisation faite de MINIX, une fois les CPU en questions lancés sur le marché.
En réponse à certains lecteurs inquiets de cette utilisation de MINIX pour surveiller tout le PC, l’auteur explique que s’il avait « su qu’Intel pouvait peut être créer un moteur d’espionnage, il n’aurait pas coopéré ». Le système d’Intel n’est peut être pas un « espion », mais la place très sensible de MINIX dans tous les PC Intel aurait effectivement mérité d’être détaillée à son créateur.
MINIX chez Intel depuis 2015… au moins
L’Intel Management Engine est un sous-système complet fonctionnant dans son propre processeur intégré aux northbridges d’Intel depuis l’ICH7. En « absorbant » le northbirdge, les premiers processeurs Core ont donc également intégré le ME : en d’autres termes, tous les processeurs Intel depuis novembre 2008 cachent en leur sein un petit processeur indépendant permettant de faire tourner ce sous-système. Depuis la version 11 au moins (rien n’est sur pour les versions antérieures), le ME repose sur MINIX 3 et tourne sur une architecture x86 (ARCompact auparavant).
c’est ouf
Je sais que c’est une vieille news mais, ça n’a rien de choquant ni d’étonnant. C’est un secret industriel dans une industrie particulièrement sensible donc ils n’allaient pas dévoiler le noyau qu’ils utilisaient pour les couches de gestion de leurs processeurs. Ça aurait pu être un noyau complètement propriétaire, un noyau BSD, ou un autre noyau, car il en fallait bien un pour faire tourner les services, et le fait est qu’il s’agit de MINIX3, et c’est plutôt une excellente chose. C’est un système stable à architecture micronoyau (microkernel) – contrairement à Linux ou BSD qui sont de lourds noyaux monolithique, ce qui lui permet d’être ultra-modulaire et donc très léger. C’est un système sous la licence BSD la plus libérale (à l’instar bien sûr de BSD), qui permet à tout le monde de l’utiliser, de le modifier, et même de le commercialiser sans avoir à mentionner le noyau ni sans avoir à verser de royalties. Il est très performant, ouvert, les ingénieurs d’Intel ont probablement adapté les services à leur besoin. Il est fiable, léger, sécurisé, mais forcément ni MINIX3 ni les modifications apportés par Intel à celui-ci, ni les autres couches logiciel de leur système ne sont à l’abri de failles. Cela étant l’utilisation de MINIX3 n’a rien de choquant ni de surprenant, et les ingénieurs qui développent des microprocesseurs modernes auraient tort de se priver ou de réinventer la roue. D’ailleurs, vu la nature de MINIX3 et sa licence, il est fort à parier que des dizaines de constructeurs utilisent aussi des versions customisées de MINIX3 dans leurs puces “intelligente” (avec systèmes de gestion de haut niveau intégrés, quoi). Quant au “potentiel système d’espionnage” et au “serveur web intégré”, c’est vraiment histoire de trouver un sujet et de faire du buzz et faire un peu vibrer le petit cœur sensible des gens crédules, car même si c’était le cas, il suffit de monitorer son trafic réseau ou de bloquer les ports pour s’apercevoir que c’est faux et/ou pour se protéger.