NoésisNEWS
Intermédiaire·3 min·16 mai 2026

Europe veut des clouds souverains, mais oublie les processeurs

🎧 Résumé audio0:00 / 0:00
L'UE investit des milliards pour échapper aux lois américaines. Problème : ses serveurs tournent sur du silicium Intel et AMD.
Europe veut des clouds souverains, mais oublie les processeurs

Pourquoi ça compte pour toi

Tu crois que certifier un cloud suffît à la souveraineté ? Faux. À l'intérieur de chaque processeur dort un ordinateur invisible, opérant en dessous du système d'exploitation, que personne ne contrôle ni ne peut auditer. Les États-Unis viennent de donner aux fabricants (Intel, AMD) le droit légal de coopérer avec leurs agences de renseignement via des ordres secrets. Autrement dit : ta donnée "souveraine" peut être exfiltrée par une porte que tu ne vois pas.

Ce qu'il faut retenir

  • 1.Intel ME et AMD PSP : processeurs cachés en Ring -3, non auditables, impossibles à désactiver même machine éteinte
  • 2.RISAA 2024 classe les fabricants de matériel comme "fournisseurs de communications" : ils peuvent être contraints à coopérer avec la NSA
  • 3.Précédent : en 2017, la NSA utilisait le Serial-over-LAN d'Intel pour exfiltrer des données, invisible aux pare-feux
  • 4.Les référentiels d'accréditation européens (SecNumCloud, IPCEI) certifient les clouds, pas le silicium

Tu galères avec le jargon ?

Lis la version réécrite en mode débutant — toutes les idées, sans le jargon.

Le problème : un ordinateur dans l'ordinateur

Chaque processeur Intel contient une puce autonome appelée Management Engine (CSME). AMD a l'équivalent : Platform Security Processor (PSP). Ces puces tournent en Ring -3 — en dessous du kernel, en dessous de l'hyperviseur, invisibles à tout logiciel de sécurité.

Ce n'est pas une hypothèse théorique. Ces processeurs ont leur propre mémoire, leur propre horloge, leur propre pile réseau. Et parce qu'ils peuvent utiliser les adresses MAC et IP de la machine hôte, le trafic qu'ils génèrent est indissociable du trafic normal. Ton pare-feu ne voit rien.

Intel expose au moins 4 ports TCP (16992-16995) via Active Management Technology (AMT), permettant un contrôle clavier-vidéo-souris, la redirection de stockage, et du Serial-over-LAN. Tout ça opère en dessous de ce que tes outils de sécurité peuvent auditer.

Pourquoi c'est un problème concret

En 2017, Microsoft a documenté comment l'acteur étatique PLATINUM utilisait Serial-over-LAN comme canal d'exfiltration caché. Le trafic transitait par la Management Engine avant même que la pile TCP/IP du système hôte ne soit active. Les pare-feux ne voyaient rien. Les antivirus ne voyaient rien.

Ce n'était pas une faille. C'était une fonctionnalité.

Et les identifiants ? Les valeurs d'usine : admin, sans mot de passe.

John Goodacre, du programme Digital Security by Design au Royaume-Uni, a documenté cela dans une évaluation des risques de 37 pages. Sa conclusion : connecter une machine dont la Management Engine n'a jamais été configurée à un réseau d'entreprise "expose l'organisation à une classe de compromission qui neutralise l'ensemble de la pile de sécurité".

L'arnaque du veille

Tu as déjà remarqué : un laptop qu'on croit éteint se retrouve avec la batterie vide après des semaines au fond d'un sac. Pourquoi ? Parce qu'"éteint" ne veut pas dire "tout est arrêté". La Management Engine reste en mode basse consommation (100-200 mW), drainant 55 Wh sur des semaines.

Implication : la radio peut rester en mode écoute. Une machine physiquement fermée, dans un sac, peut se connecter à un réseau hostile. Tu n'en sauras jamais rien.

Aurélien Francillon, chercheur en sécurité à EURECOM, a construit une porte dérobée entièrement fonctionnelle dans le micrologiciel d'un disque dur. Trois mois après avoir présenté son travail, les révélations Snowden ont montré que la NSA le faisait déjà.

Et sur les serveurs ?

C'est pire. Sur le matériel de datacenter, Intel ME s'appelle Server Platform Services (SPS). Le BMC (Baseboard Management Controller) — le contrôleur d'administration standard — en dépend. Le BMC est le premier point d'entrée réseau vers le SPS. Il est à la fois le plus exposé et le plus critique.

Recherche publiée : le BMC peut être exploité à distance pour réinstaller ou compromettre entièrement un serveur.

Le vrai problème légal

L'UE connaît le CLOUD Act (2018) et FISA Section 702. Moins connue : RISAA 2024, qui redéfinit ce qu'est un "fournisseur de services de communications".

Désormais, Intel et AMD en font partie. Ils peuvent être contraints, via des ordres secrets assortis de clauses de confidentialité, à coopérer avec les agences de renseignement américaines.

Le mécanisme : la Management Engine. Une machine persistante, privilégiée, connectée au réseau, opérant en dessous de tout ce que l'UE peut certifier.

L'Europe a construit des forteresses de souveraineté numérique. Elle a oublié que les briques sont fabriquées à Pékin... pardon, en Californie.

Et concrètement pour toi ?

Choisis ton profil — la lecture de l'article change selon qui tu es.

🔭 Curieux

Pour toi, retiens ceci : l'UE dépense des milliards pour fuir les lois américaines, mais construit ses châteaux sur du sable qu'elle ne contrôle pas. C'est l'absurde de la souveraineté numérique en 2024.

Source

#souverainete-numerique#securite-hardware#geopolitique-tech#intel-me#amd-psp#risques-legislatifs

📊 Cours en bourse

MSFT

Microsoft

Voir le cours + analyse →

AMD

AMD

Voir le cours + analyse →
🎓

Pour aller plus loin

Cet article t'a donné envie d'approfondir ? Deux formations Noésis t'attendent :

Masterclass · 49 €

Prompt Engineering

8 chapitres + 50 prompts prêts à copier + PDF

Formation vidéo · 79 €

IA Fondations

12 leçons vidéo pour comprendre et utiliser l'IA

Newsletters Noésis

3 minutes d'IA dans ta boîte mail, chaque matin.

Rejoins les francophones qui comprennent, essaient et progressent avec l'IA. Choisis ce que tu veux recevoir. Désabonnement en 1 clic.