L’année 2018 n’est pas géniale pour la sécurité ! Après les failles Meltown et Spectre, c’est le Firmware TPM qui est vulnérable, voici comment le corriger facilement sur Chrome OS

Il existe un bogue dans certaines versions du micrologiciel Infineon TPM qui entraîne la vulnérabilité des clés RSA générées par le TPM à une attaque, cela permet de récupérer la moitié de la clé privée RSA à partir de la clé publique.

L’équipe de Chromium a publié une mise à jour du micrologiciel pour une grande partie des Chromebooks présent sur le marché qui inclut le correctif de sécurité [mks_accordion]
[mks_accordion_item title= »

Appareils concernés

À l’exception des périphériques plus anciens qui utilisent le TPM Infineon SLB 9635, tous les appareils Chrome OS équipés d’une puce Infineon TPM sont concernés. Voici la liste complète des périphériques concernés avec des noms de code et leurs noms marketing:

« ]

  • asuka – Dell Chromebook 13 3380
  • auron-paine – Acer Chromebook 11 (C740)
  • auron-yuna – Acer Chromebook 15 (CB5-571)
  • banjo – Acer Chromebook 15 (CB3-531)
  • banon – Acer Chromebook 15 (CB3-532)
  • mon pote – Acer Chromebase 24
  • bonbons – Dell Chromebook 11 (3120)
  • caroline – Samsung Chromebook Pro
  • cave – ASUS Chromebook Flip C302
  • Celes – Samsung Chromebook 3
  • chell – Chromebook HP 13 G1
  • clapper – Chromebook Lenovo N20
  • cyan – Acer Chromebook R11 (CB5-132T / C738T)
  • daisy-skate – Chromebook HP 11 2000-2099 / HP Chromebook 11 G2
  • daisy-spring – Chromebook HP 11 1100-1199 / HP Chromebook 11 G1
  • Edgar – Acer Chromebook 14 (CB3-431)
  • orme – Acer Chromebook R13 (CB5-312T)
  • enguarde – Chromebook ASI
  • enguarde – Chromebook de Crambo
  • enguarde – Chromebook de CTL N6 Education
  • enguarde – Chromebook de l’éducation
  • enguarde – Chromebook d’eduGear R
  • enguarde – Chromebook d’Edxis Education
  • enguarde – Chromebook de JP Sa Couto
  • enguarde – Chromebook Lenovo N21
  • enguarde – M & A Chromebook
  • enguarde – Chromebook de RGS Education
  • enguarde – Chromebook Senkatel C1101
  • enguarde – True Chromebook IDC
  • enguarde – Chromebook de Videonet
  • expresso – Bobicus Chromebook 11
  • expresso – Chromebook grand public
  • expresso – Chromebook d’Edxis
  • expresso – HEXA Chromebook Pi
  • falco – Chromebook HP 14
  • gandof – Toshiba Chromebook 2 (édition 2015)
  • lueur – Chromebook Lenovo ThinkPad 11e
  • gnawty – Acer Chromebook 11 (C730 / C730E)
  • gnawty – Acer Chromebook 11 (C735)
  • guado – ASUS Chromebox CN62
  • hana – Chromebook Lenovo N23 Yoga / Flex 11
  • hana – Chromebook Poin2 14
  • Héli – Haier Chromebook 11 G2
  • kefka – Dell Chromebook 11 Modèle 3180
  • kefka – Dell Chromebook 11 3189
  • kevin – Samsung Chromebook Plus
  • kip – Chromebook HP 11 2100-2199 / HP Chromebook 11 G3
  • kip – Chromebook HP 11 2200-2299 / HP Chromebook 11 G4 / G4 EE
  • kip – Chromebook HP 14 ak000-099 / Chromebook 14 G4 de HP
  • lars – Acer Chromebook 11 (C771, C771T)
  • lars – Acer Chromebook 14 pour le travail (CP5-471)
  • leon – Toshiba Chromebook
  • lien – Google Chromebook Pixel
  • lulu – Dell Chromebook 13 7310
  • mccloud – Acer Chromebox
  • monroe – LG Chromebase 22CB25S
  • monroe – LG Chromebase 22CV241
  • ninja – AOPEN Chromebox Commercial
  • nyan-big – Acer Chromebook 13 (CB5-311)
  • nyan-blaze – Chromebook HP 14 x000-x999 / Chromebook 14 G3 de HP
  • nyan-kitty – Acer Chromebase
  • orco – Chromebook Lenovo 100S
  • panthère – ASUS Chromebox CN60
  • peach-pi – Samsung Chromebook 2 13 « 
  • pêche-pit – Samsung Chromebook 2 11 « 
  • peppy – Chromebook Acer C720
  • quawks – ASUS Chromebook C300
  • reks – Chromebook Lenovo N22 (Touch)
  • reks – Chromebook Lenovo N23
  • reks – Chromebook Lenovo N23 (tactile)
  • reks – Chromebook Lenovo N42 (Touch)
  • relm – Acer Chromebook 11 N7 (C731)
  • relm – Chromebook CTL NL61
  • relm – Chromebook d’Edxis Education
  • relm – HP Chromebook 11 G5 EE
  • relm – Chromebook de Mecer V2
  • rikku – Acer Chromebox CXI2
  • samus – Google Chromebook Pixel (2015)
  • sentinelle – Chromebook Lenovo Thinkpad 13
  • setzer – Chromebook HP 11 G5 / Chromebook HP 11-vxxx
  • squawks – ASUS Chromebook C200
  • sumo – AOpen Chromebase Commercial
  • chic – Toshiba Chromebook 2
  • terra – Chromebook ASUS C202SA
  • terra – Chromebook ASUS C300SA / C301SA
  • tidus – Lenovo ThinkCentre Chromebox
  • difficile – Dell Chromebox
  • Ultima – Lenovo ThinkPad 11e Chromebook 3e génération (Yoga / Clapet)
  • veyron-fievel – AOpen Chromebox Mini
  • veyron-jaq – Haier Chromebook 11
  • veyron-jaq – Medion Akoya S2013
  • veyron-jaq – True IDC Chromebook 11
  • veyron-jaq – Chromebook Xolo
  • veyron-jerry – Chromebook CTL J2 / J4 pour l’éducation
  • veyron-jerry – Série EduGear Chromebook K
  • veyron-jerry – Epik 11.6 « Chromebook ELB1101
  • veyron-jerry – Chromebook HiSense 11
  • veyron-jerry – Chromebook de Mecer
  • veyron-jerry – Chromebook CX100 de NComputing
  • veyron-jerry – Poin2 Chromebook 11
  • veyron-jerry – Positivo Chromebook CH1190
  • veyron-jerry – VideoNet Chromebook BL10
  • veyron-mickey – ASUS Chromebit CS10
  • veyron-mighty – Chromebook PCM-116E
  • veyron-mighty – Série M de Chromebook d’EduGear
  • veyron-mighty – Haier Chromebook 11e
  • veyron-mighty – Chromebook de Lumos Education
  • Veyron-puissant – MEDION Chromebook S2015
  • veyron-mighty – Chromebook de Nexian 11,6 pouces
  • veyron-mighty – Prowise 11.6 « Chromebook de ligne d’entrée
  • veyron-mighty – Sector 5 E1 Chromebook robuste
  • veyron-mighty – Viglen Chromebook 11
  • veyron-minnie – ASUS Chromebook Flip C100PA
  • veyron-speedy – Chromebook ASUS C201PA
  • veyron-tiger – AOpen Chromebase Mini
  • winky – Samsung Chromebook 2 11 – XE500C12
  • wizpig – Chromebook CTL J5
  • wizpig – Chromebook Edugear CMT
  • wizpig – Chromebook Convertible Haier 11 C
  • wizpig – PCMerge Chromebook PCM-116T-432B
  • wizpig – Prowise ProLine Chromebook
  • wizpig – Viglen Chromebook 360
  • loup – Dell Chromebook 11
  • zako – HP Chromebox CB1- (000-099) / Chromebox HP G1 / HP Chromebox pour les réunions

[/mks_accordion_item]
[/mks_accordion]

Si vous avez continué à lire cet article, c’est que votre Chromebook fait sûrement partie de la liste ci-dessus, je vais vous expliquer comment installer la mise à jour micrologiciel du Firmware TPM sur votre Chromebook.

En un premier temps, il est nécessaire de vérifier que la mise à jour ne soit pas encore déployée, pour cela ouvrez un onglet sur Chrome et saisissez l’URL suivante :

chrome://system/

Ensuite cherchez la ligne tpm_version avec le raccourci clavier Ctrl + F puis, cliquez sur le bouton Développer… enfin, regardez la ligne Firmware Version

Voici les versions de firmware obsolètes. Si l’une de ces versions figure dans la liste, vous devrez passer aux étapes suivantes pour obtenir la dernière mise à jour.

  • 000000000000041f – 4,31
  • 0000000000000420 – 4,32
  • 0000000000000628 – 6.40
  • 0000000000008520 – 133,32

Les dernières versions du firmware sont dans la liste suivante. Si votre vous êtes déjà basculé sur cette version alors votre Chromebook est sécurisé, passez votre chemin en toute tranquillité .

  • 0000000000000422 – 4.34
  • 000000000000062b – 6.43
  • 0000000000008521 – 133,33

[amazon_link asins=’B01MQ12I4X,B01M5FN5V9,B076HMVFR2,B01D4IJB2C,B078W86DYJ,B01DBSKWZ0,B01JP6YB8Q,B01848N9U2,B01M8QYVJU,B0119T7L2A’ template=’ProductCarousel’ store=’mygsm-21′ marketplace=’FR’ link_id=’3b3772e5-108e-11e8-991f-01aca75f720d’]

Ce qu’il faut savoir sur le processus de mise à jour

L’installation de la mise à jour du microprogramme TPM nécessite une réinitialisation matérielle de la puce TPM. Cela signifie que toutes les données détenues par le TPM seront rejetées. Cela inclut les clés de chiffrement de disque, impliquant que toutes les données utilisatrices stockées localement sur le périphérique seront perdues. Ainsi, vous devez sauvegarder soigneusement toutes les données importantes avant d’installer la mise à jour.

Google travaille actuellement sur un moyen de permettre l’installation du micrologiciel TPM sans perdre toutes les données sur l’appareil. Les dates de lancement de ces flux de mise à jour non-destructifs ne sont cependant pas confirmées à ce stade.

Il y a aussi un risque que la mise à jour échoue, par exemple si l’ordinateur a une perte de puissance lors de l’installation de la mise à jour. Vous aurez donc besoin du support de récupération de Chrome OS pour faire redémarrer votre Chromebook.

Installation de la mise à jour du TPM

Comme nous vous l’indiquons plus haut, pour faire la mise à jour du micrologociel TPM nous allons devoir réinitialiser totalement la mémoire du Chromebook, avant de procéder au PowerWash nous allons sauvegarder toutes les données importantes sur le Cloud de Google pour pouvoir le restaurer facilement après la mise à jour.

Sauvegarder les fichiers présents sur le Chromebook

La première chose à faire est de copier tous les fichiers présents sur le SSD de votre Chromebook sur un serveur Cloud, évidemment vous avez Google DRIVE, mais il existe Dropbox, OneDrive …. Un simple glissé/ Déposé du dossier télécharger vers Drive permet de faire une sauvegarde de vos fichiers.

Une fois ce premier travail effectué, vous pouvez aussi sauvegarder les Applications, la saisie automatique, les favoris, les extensions, l’historique, les mots de passe, les paramètres les thèmes et fonds d’écran et les onglets ouverts, pour cela rendez vous sur la page chrome://settings/syncSetup et activez tout ce que vous souhaitez sauvegarder pour une restauration ultérieure.

Ensuite il nous reste à faire un Powerwash du Chromebook.

Les étapes sont les suivantes:

  1. Pour effacer complètement la mémoire de votre Chromebook vous pouvez le faire avec le raccourci clavier Ctrl + Alt + Maj + r depuis l’écran de connexion, ou via l’option powerwash dans chrome://settings/reset
  2. Il vous sera demandé de redémarrer votre Chromebook sauf si vous venez de redémarrer votre appareil .
  3. Dans la boîte de dialogue Powerwash, il y aura une case à cocher « Mettre à jour le firmware pour plus de sécurité ». Activer le pour demander l’installation de la mise à jour du microprogramme TPM.
    Si vous ne voyez pas de case à cocher, cela peut être dû à un certain nombre de raisons:

    1. Votre appareil exécute déjà le micrologiciel mis à jour.
    2. Vous exécutez une ancienne version de Chrome OS qui n’inclut pas de fonctionnalité pour mettre à jour le microprogramme TPM. Mettez à niveau vers une version plus récente du système d’exploitation.
  4. Une fois que vous cliquez sur le bouton « Powerwash » puis confirmer, l’appareil va redémarrer.
  5. Après le redémarrage, vous verrez un message indiquant que le PowerWash est en cours. Attendez qu’il se termine, après quoi l’appareil va redémarrer à nouveau.
  6. Après le deuxième redémarrage, l’appareil affichera un message lors de l’installation de la mise à jour du micrologiciel. Une barre de progression sera mise à jour au fur et à mesure de la mise à jour. L’appareil redémarrera une fois de plus après l’installation de la mise à jour.
  7. Après le troisième redémarrage, vous verrez à nouveau l’interface utilisateur de Chrome OS, qui affiche l’expérience «out of box». Votre chromebook est de nouveau opérationnel comme au premier jour, vous pouvez donc recommencer l’installation, puis vous connecter comme d’habitude.
  8. Cela vaut la peine de vérifier que vous utilisez un firmware TPM en vérifiant l’entrée tpm_version dans chrome://system/.

Si vous avez appliqué les différents conseils pour les failles Meltwon et Spectre puis appliqué le correctif pour le micrologiciel TPM alors votre Chromebook est très bien protégé des différentes attaques.

Avez-vous fait la mise à jour, et avez-vous rencontré des difficultés ? Faites moi un retour d’expérience dans la suite de cet article à travers vos commentaires.

Source : Google, Wikipédia

Shares:

4 Comments

  • Franck
    Franck
    15 février 2018 at 17 h 25 min

    Bonsoir Nicolas,

     

    Pour ma part tout s’est passé comme une lettre à la poste. Attention à bien regarder les recommandations  et faire une sauvegarde des ses dossiers.

    Au redémarrage tout s’est réinstallé sans soucis, il y a juste à retransférer sa sauvegarde sur son CKB.

    Cordialement

     

    Franck

    Reply
    • Nicolas
      16 février 2018 at 7 h 48 min

      Excellente nouvelle te voila protéger @franck

      Reply
  • Bonnet
    Bonnet
    15 février 2018 at 11 h 30 min

    Bonjour,

    bien suivi la marche à suivre. Tout est OK. merci.

     

    Reply
  • BERNARD SORET
    BERNARD SORET
    14 février 2018 at 8 h 41 min

    bonjour & merci de l’information Après verification ce matin mon CBK HP14  est sur la version 8521

    Cdt

    Reply

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.