La sécurité absolue chez Mac n’est désormais plus d’actualité : une nouvelle menace visant les machines d’Apple a été découverte. Sophistiquée et coriace, elle vise les failles des microprogrammes (firmware) au niveau matériel pour infecter les machines. Les problèmes mis en évidence par ce virus seront expliqués lors de la conférence Black Hat 2015 à Las Vegas.
Trois chercheurs ont mis au point une nouvelle attaque Thunderstrike sur les systèmes Mac. Ces derniers ont prévu de faire la démonstration de cette découverte lors de la conférence Black Hat qui se tiendra cette semaine du 1er au 6 août à Las Vegas. L’attaque est extrêmement difficile à repérer : elle peut même être menée sans que la machine soit connectée à un réseau. Les trois chercheurs, Xeno Kovah, Corey Kallenberg de l’entreprise LegbaCore et Trammell Hudson de Two Sigma Investments, avaient montré comment infecter le firmware d’un Mac avec un malware par la connexion des périphériques par le port Thunderbolt (l’interface de données à haute vitesse d’Apple). Cette attaque avait été nommée Thunderstrike.
Ce jeudi 6 août, l’attaque nommée Thunderstrike 2 sera dévoilée. Beaucoup plus puissante que la précédente, le virus a été « amélioré » et pourra se propager à d’autres machines par le biais de périphériques amovibles. Plusieurs vulnérabilités ont en effet été identifiées par les chercheurs dans le Firmware utilisé par Apple. En théorie, le firmware d’une machine n’est pas modifiable et ne peut être réécrit. Ce malware est donc particulièrement dangereux car il est invisible aux produits de sécurité qui ne vérifient pas le firmware.
Thunderstrike 2 : Une intégration autonome au firmware
Un aperçu sur Youtube posté par les trois chercheurs montre comment agit le virus : le programme charge un module du noyau et donne accès à la mémoire brute. Dans certains cas, le code d’attaque peut débloquer et réécrire le firmware de démarrage. La mise en veille d’un ordinateur peut aussi être une cause d’infection. Le virus peut en effet profiter des problèmes rencontrés par l’ordinateur avant de le remettre en route. Ce défaut a été exploré par un autre chercheur. Les ROM facultatives présentes sur les périphériques Thunderbolt peuvent aussi être réécrites par le malware lui-même. Si un périphérique infecté est branché à un autre Mac, la mémoire morte facultative est exécutée avant le lancement du kernel de l'OS. Mais pour altérer le firmware, le malware doit attendre que l'ordinateur se mette en veille et se remette à nouveau en route. Le démarrage n’est alors plus protégé et Thunderstrike 2 peut s’intégrer lui-même au firmware.
Le malware peut également survivre à un formatage complet de disques durs. Ajouté à cela, il est également capable de bloquer d’éventuelles tentatives de mises à jour des firmwares. Thunderstrike 2 est donc un malware très puissant qui peut même atteindre des ordinateurs depuis l’internet en infectant un périphérique Thunderbolt. Si ce périphérique est connecté à une machine isolée de toute connexion réseau, il pourra l’infecter.
Dans une ère où les cyberattaques augmentent à un rythme sans précédent, la FIDO Alliance se trouve à l'avant-garde des innovations en matière de cybersécurité. La montée des menaces cybernétiques souligne le besoin vital de mesures de protection ...