Des failles EFI pour près de 5% des Mac
Apple a mal à son EFI. Duo Security a mené une analyse au longs cours concernant l’Extensible Firmware Interface — le programme de démarrage — de 73 000 Mac et surprise, même si des mises à jour de macOS y sont régulièrement appliquées, un certain nombre d’entre eux restent vulnérables à des attaques. La faute à des EFI qui ne sont pas à jour malgré l’application d’une version toute neuve du système d’exploitation.
Dans l’étude, c’est le cas pour 4,2% des machines : 47 des Mac analysés sont susceptibles d’être infectés via la faille Thunderstrike datant de 2014, 31 autres ordinateurs sont vulnérables à la faille Thunderstrike 2 et au “tournevis sonique” mis au point par la CIA (des attaques qui nécessitent toutefois un accès physique aux ordinateurs). Plus inquiétant, 43% des iMac 21,5 pouces lancés fin 2015 se montrent sensibles à ces failles.
Selon les chercheurs en sécurité, il existe des différences de traitement entre certains modèles de Mac : des machines reçoivent régulièrement des mises à jour EFI, d’autres ne sont patchées qu’après la découverte de vulnérabilités ; d’autres encore n’auraient tout simplement jamais reçu de mises à jour EFI. C’est le cas de 16 modèles de Mac, allant du MacBook Air au Mac Pro…
Autre situation étrange : un Mac fonctionnant sous Mac OS X 10.11 peut recevoir des mises à jour EFI différentes de celles d'un même modèle sous macOS 10.12. Une situation particulièrement confuse donc, où un système parfaitement mis à jour peut quand même présenter une faille dans son EFI (« software secure but firmware vulnerable », selon le mot de Duo Security).
Apple n’aide d’ailleurs pas à s’y retrouver. Une mise à jour de sécurité livrée en début d’année contenait des versions du firmware EFI plus anciennes que celles fournies avec avec le précédent patch ! Afin de vérifier si l’EFI de son Mac présente des vulnérabilités, les chercheurs en sécurité sont en train de développer un utilitaire, EFIgy. Le développement est encore en cours.
Le grand public n’a a priori pas grand chose à craindre de ce type d’attaques : ce genre de failles est plutôt exploitée pour cibler des utilisateurs bien particuliers, comme des journalistes, des industriels, des opposants. Et, encore une fois, il importe d’avoir un accès physique au Mac.
Duo Security conseille de passer séance tenante sous macOS 10.12.6 qui inclut les derniers firmwares. Apple, mis au courant de ces problèmes en amont, indique à Ars Technica que macOS High Sierra vérifie l’intégrité de l’EFI toutes les semaines.
Les Mac ne sont pas les seuls à souffrir de ce genre de failles EFI. C’est aussi le cas des PC sous Windows et sous Linux, mais il est plus facile de les identifier sur Mac étant donné qu’il n’existe qu’un seul fournisseur de cartes mère.
Un peu à côté de la plaque, la reponse d'Apple.
Vérifier l'intégrité de l'EFI c'est bien! Mais ca ne garantit pas qu'il soit à jour, ni que les failles y aient été corrigées... juste qu'il est bien tel que livré par Apple.
D'autre part, si au moment où DuoSecurity a prodigué ses conseils c'était 10.12.6 qui donnait accès aux derniers firmwares en date, désormais c'est 10.13.0 qui dispose des firmwares les plus récents. Doit-on pour autant se précipiter sur HighSierra?
Ce serait bien qu'Apple diffuse les mises à jour firmware indépendamment des mises à jour système!
@r e m y
"Ce serait bien qu'Apple diffuse les mises à jour firmware indépendamment des mises à jour système!"
Principe que l'on peut généraliser en toute direction.
Il fut un temps où Apple s'y conformait, peu ou prou.
@occam
Ce serait bien qu'Apple change totalement de politique et de conception pour MacOS. Rien ne justifie de sortir une version majeure de MacOS par an. Les utilisateurs ont besoin d'un MacOS qui soit plus un Linux ergonomique avec un UI stable et esthetique, qu'un Windows Vista grassouillet mettant a genoux les machines les plus puissantes et bouré de gadgets inutiles.
Le principal enjeu pour les OS aujourd'hui c'est la securité. Par definition, l'instabilité est une faille de securité, et sortir des versions publiques qui sont en realité des beta bourrées de failles c'est aller dans le sens opposé de la demande.
Le besoin c'est aussi d'avoir un OS qui exploite de maniere optimale le materiel, cela en toute securité et de maniere compatible avec les standards. Elle est finie l'epoque d'internet Explorer, aujourd'hui les lois imposent l'interoperabilité, et l'OS doit etre conçu avec cette idee en tete.
Par definition, avec des OS qui sont des unix, plus une machines est ancienne et plus elle est securisée et exploité au mieux. Cela va dans le sens opposé de l'idee d'obscolescence programmée qui est le credo d'Apple, mais c'est la nature de l'Unix.
Et a ce niveau la conception de fond d'Unix permet justement de mettre a jour et amelioré des parties "atomique" sans toucher au reste du systeme. Donc techniquement tout permet a Apple de faire evoluer MacOS vers plus de securité et d'efficacité sans devoir reecrire des pans entier de l'OS et en introduisant de l'instabilité et de l'inconstance comme c'est le cas actuel.
Mais bon, il s'agit la d'une strategie industrielle et Apple devrait faire un sacré changement d'objectif et de moyen pour revenir sur sa pratique d'obsolescence programmée digne de l'industrie automobile...
@C1rc3@0rc
Absolument d'accord.
Je suis fatigué de devoir le dire, en tout lieu et sur tous les fronts.
Merci donc de prendre le temps de l'expliquer ici, amplement.
Il faut documenter le fait que certains gâchis, et la dégringolade conceptuelle à laquelle nous assistons, n'étaient guère inévitables.
Si on est un journaliste d'opposition à l'industrie j'en conclue que c'est sans doute trop tard.
C'est quoi un EFI?
@Tobias2017
Le bios des macs
@reborn
Pas seulement...
Ça tent à remplacer les BIOS
@Novezan
C'est en quelque sorte l'equivalent, même si l'EFI est plus évolué.
@reborn
Tout à fait ;-)
@reborn
Faudrait definir en quoi c'est plus evolué que les autres BIOS...
@C1rc3@0rc
EFI pour les macs, UEFI chez les PC
BIOS chez les anciens pc.
Compare à l'utilisation et en terme de fonctionnalité (plus ou moins utile) un BIOS avec un UEFI, tu aura la réponse.
@reborn
Faudrait definir en quoi c'est plus evolué que les autres BIOS...
Encore un indicateur objectif que le mac est délaissé...
@PierreBondurant
Euuuu tu vas un peut vite là...
@mmmathieu
"Euuuu tu vas un peut vite là..."
Ah bon ? Et pourquoi donc ?
@PierreBondurant
Pas la peine d'indicateur, c'est un fait constaté depuis un moment... au moins 2012.
Maintenant la question c'est de savoir si Apple est en train de changer d'avis et de se donner les moyens de revenir sur cette erreur historique majeure.
La situation est tres ambiguë.
D'un coté on a l'exercice de contrition publique jamais fait avant pas Apple qui reconnait la connerie de conception du MacPro Poubelle pondu par Ive, et plus generalement l'inadaptation des Mac au marché productif (cad les "pro"). et de l'autre, on a comme reponse l'iMac Pro, une chimere totalement delirante, qui prend le pire du Mac Pro et arrive a faire encore pire, tout ça dans un nuage de vaporware des plus opaque.
Le tout renforcé par un iOS 11 qui renforce la complication et la volonté d'independance des device, iPad Pro en tete, et des processeurs ARM qui mettent une pâtée a Intel, mais sans rentrer dans les Mac, qui eux continuent de recevoir majoritairement les bouses d'Intel, loin de l'offre la plus adaptée...
Bref, si Apple est en train de reconstituer un pole Mac, faudrait communiquer dessus et tres vite, parce que la c'est plus le cimetière qui se profile a l'horizon.
@C1rc3@0rc
Je trouve l’iMac tres sympa mais je comprends pas non plus qu’il ait été choisi pour devenir le Mac Pro... rien n’est modifiable et les ports sont très limités donc aucune souplesse.
Juste un écran qui claque, principale innovation sur Mac depuis pas mal d’années (innovation bienvenue bien sur mais bon c limité)
A travers son partenariat avec IBM, j’ai cru comprendre qu’apple bossait sur du soft deporté niveau serveur (ibm cloud), avec juste une interface au niveau terminal utilisateur: clairement un schéma pensé pour iPad / iPhone.
Je pense que le Mac reste au catalogue tant qu’il n’aura pas été complément remplacé par l’iPad chez les utilisateurs, mais que ses jours sont comptés...
@PierreBondurant
L'imac pro n'est pas le nouveau mac pro. Le prochain mac pro serait dispo fin 2018 voir 2019.
Si les jours des Mac étaient vraiment comptés, ils auraient déjà disparu. D'ailleurs il est significatif que l'effort porté sur l'iMac Pro le soit sur un ordinateur de bureau plutôt que sur un portable. Ce type d'informatique a de beaux jours devant lui, c'est bien pour cela qu'on en fabrique toujours, chez comme ailleurs.
@Average Joe
«Si les jours des Mac étaient vraiment comptés, ils auraient déjà disparu.»
J'ai entendu ce meme discours concernant les Xserve...
«il est significatif que l'effort porté sur l'iMac Pro le soit sur un ordinateur de bureau plutôt que sur un portable.»
iMac pro = Mac Pro poubelle, mais ne plus limité.
De quel effort il s'agit?
Il sagit de faire rentrer un Xeon et un GPU AMD, deux goinfres suants tres vite, dans un form factor sur-amorti. Ces des inge qui sont en charge de cette abberation doivent plus avoir beaucoup de cheveux, mais sinon, c'est pas une nouvelle machine, c'est du tres vieux et tres rentabilisé... Apres, faut aussi qu'il sorte vraiment un jour.
Le nouveau Mac Pro de 2019, rien n’indique qu'il y ait la moindre realité derrriere cette annonce commerciale. Si l'iMac Pro est un echec, alors peut etre qu'Apple songera a redaire des Mac pour develppoper. en attendant, y a rien a voir.
Vive la variété des cartes mères des autres constructeurs.
Attendre que l'OS soit stabilisé me semble aussi une chose à prendre en compte. J'attendrais quelques mois avant d'y passer.
@angelbj
Oui c'est la sagesse et la raison, mais cela n'enleve rien au probleme de fond que la politique d'Apple en terme de securité et d'efficacité est totalement indigente.
A ce niveau, avec la degradation de l'interface et des performances des Mac, y a plus grand chose qui retient de passer a Windows. Voire a Linux.
Et quand Apple bloque l'installation à EL Capitan?? On jette puis on rachète???
@0MiguelAnge0
C'est l'idee... des marketeux qui sont aux commandes chez Apple depuis quelques annees. Le probleme c'est que la nouvelle acquisition est encore plus insecure que l'existant: faut voir les problemes de fiabilités et de securité qui se multiplient alors que High Sierra est a peine disponible en pseudo-public release (en fait une grosse beta loin d'etre finalisée)