Une vulnérabilité dans l'EFI des Mac sera détaillée après Noël

Florian Innocente |

Une faille de sécurité complexe a été découverte sur des portables Apple par un chercheur qui en fera la démonstration la semaine prochaine en Allemagne, lors du Chaos Communication Congres. Trammell Hudson explique que, moyennant un accès physique à une machine, il peut installer un logiciel exécutable à l'intérieur de la ROM EFI qui gère le démarrage de la machine.

Trammel Hudson - crédit : AdaFruit

L'installation et la diffusion de ce code se fait au moyen d'un périphérique Thunderbolt dont la ROM peut voir son contenu corrompu à des fins d'infection. La faille permettant cette infection est connue depuis deux ans, elle avait fait l'objet d'un exposé lors d'une précédente manifestation Black Hat [PDF]. Mais Trammell Hudson explique qu'il est beaucoup plus compliqué de détecter la modification appliquée au firmware du Mac une fois que le programme interne de l’EFI a été flashé. Il n'y a pas de test effectué au démarrage pour vérifier l'intégrité de ce composant.

Cette ROM étant indépendante du système d'exploitation et d'autres éléments matériels, il ne sert à rien non plus de réinstaller OS X ou de changer le support de stockage où est installé le système. Il faut parvenir à reprogrammer l'EFI et, pour cela, savoir qu'il a été modifié. Sachant que d'autres techniques peuvent être employées pour masquer cette présence. En outre, cette reprogrammation doit être réalisée de manière matérielle et non logicielle car l'intrus est signé avec une clef privée émise par le hacker et non plus par la clef publique d'Apple… La conférence de Trammell Hudson se tiendra le 29 décembre prochain.

Source
SecurityWeek
Tags
#sécurité #EFI
avatar JPTK | 

« Trammell Hudson explique que, moyennant un accès physique à une machine »

En même temps vu sa tête, moi je le laisse pas rentrer...

avatar Yuku | 

@JPTK :
En même temps, tu sembles avoir un QI de 28, ce qui n'est pas son cas...

avatar JPTK | 

TDC t'as même pas compris l'ironie de mon commentaire, alors tu peux parler de QI...
:-)

avatar Madame Mim | 

@Yuku :
Mais enfin c'est de l'humour! En tout cas moi il m'a bien fait rire. Je suis même retournée voir la
photo.
Allez on mettra ta mauvaise humeur sur le compte du stress de Noël.
Joyeux Noël quand même.

avatar JPTK | 

Encore un frustré du QI :)

avatar Yuku | 

@Madame Mim :
J'ai beau relire, je ne vois aucun humour... En tout cas pas un qui me fasse rire... Tellement lourdeau... Pas bien grave ;-) .

avatar JPTK | 

On s'en fout de ta vie en fait :-)

avatar SkeletonGamer | 

Solution pour Apple: désactiver les ports Thunderbolt au démarrage du Mac.

avatar XiliX | 

@SkeletonGamer :
Et on fait comment pour démarrer l'ordinateur depuis un disque externe TB ?

avatar misstique | 

Bon ben il n'y a plus qu'à acheter un PC ! :-)

avatar Teeto | 

Et si on a activé le mot de passe efi qui empêche de booter la machine sur autre chose que la session mac de base ça change qqchose ou bien..?

avatar PiRMeZuR | 

Un petit génie de l'informatique !

avatar iapx | 

Très bon, je ne sais pas encore comment j'ai été attaqué sur mon nouvel iMac retina, je pensais une modification de l'OS et peut-être un clavier bluetooth modifié, mais ça pourrait aussi être ce type d'attaque. En attendant il n'a accès à aucun de mes comptes (même pas iTunes ou App Store évidemment).

Il faut quand-même avoir accès aux ports et le brancher, donc des protections mal replacées sur un iMac (film transparent par parfaitement placé au niveau de l'alimentation, traces d'usures sur la protection intermédiaire au-dessus, marquant un déballage). Ce que j'ai repéré dès le déballage, avec des marques légères sur le clavier. C'est dur de marquer de l'aluminium quand-même! lol

avatar MarcMame | 

Vous êtes tous trop jeune pour voir la bonne blague de cette photo ??
Un TRS-80 Model 100 connecté à un MacBook Air et ça ne fait rire que moi ??

avatar Dwigt | 

Non, pas que toi. Je me souviens de la double page qu'il y avait eu dans SVM dessus, dans un des tout premiers numéros, en "comparatif" avec deux modèles qui utilisaient la même carte-mère.
Après vérification, c'est dans le numéro 2, de janvier 1984, et les deux autres modèles étaient le M10 d'Olivetti, et le Nec PC 8201.

D'après Wikipedia, le firmware de tous ces modèles (en fait fabriqués par Kyocera) a été la dernière "œuvre" de Bill Gates en tant que programmeur principal.

Ça avait été un succès notamment auprès des journalistes : c'était une machine d'un kilo 4 qui permettait ensuite d'envoyer le texte par modem.

avatar JPTK | 

Moi avec un minitel je fais la même chose d'ailleurs.

avatar Berechit | 

@MarcMame :
En fait, cette photo est issue d'un show autour de réalisations à base de Rasoberry Pi (la voiture en arrière plan en est une autre). Le type a fait tourner des applis TRS 80 avec son "Pi" !

avatar poikoi | 

Et moi, si j'ai accès à l'ordinateur de la voisine, je peux voir ses photos.

avatar JPTK | 

T'as même accès à son frigo si tu veux ! DU GROS HACK QUOI !!

avatar Nesus | 

Le hack est assez conséquent et très impressionnant, mais malgré tout assez limité, vu le gros pré requis qu'il faut.
Bon, jusqu'à ce qu'un petit malin arrive à le faire sans redémarrer la machine. Là toute machine avec un périphérique Thunderbolt de branché pourrait possiblement être hacké. Bref, Apple va avoir du gros boulot à fournir.

avatar Doctomac | 

Pseudo faille de Geek, insignifiante pour la plupart des utilisateurs.

avatar bugman | 

Dans l'attente d'un correctif, il reste la possibilité de mettre son portable au coffre (fort, hein, pas les conneries à 300€).

CONNEXION UTILISATEUR