Fermer le menu
 

Des failles EFI pour près de 5% des Mac

Mickaël Bazoge | | 15:30 |  26

Apple a mal à son EFI. Duo Security a mené une analyse au longs cours concernant l’Extensible Firmware Interface — le programme de démarrage — de 73 000 Mac et surprise, même si des mises à jour de macOS y sont régulièrement appliquées, un certain nombre d’entre eux restent vulnérables à des attaques. La faute à des EFI qui ne sont pas à jour malgré l’application d’une version toute neuve du système d’exploitation.

Image iFixit. Cliquer pour agrandir

Dans l’étude, c’est le cas pour 4,2% des machines : 47 des Mac analysés sont susceptibles d’être infectés via la faille Thunderstrike datant de 2014, 31 autres ordinateurs sont vulnérables à la faille Thunderstrike 2 et au “tournevis sonique” mis au point par la CIA (des attaques qui nécessitent toutefois un accès physique aux ordinateurs). Plus inquiétant, 43% des iMac 21,5 pouces lancés fin 2015 se montrent sensibles à ces failles.

Selon les chercheurs en sécurité, il existe des différences de traitement entre certains modèles de Mac : des machines reçoivent régulièrement des mises à jour EFI, d’autres ne sont patchées qu’après la découverte de vulnérabilités ; d’autres encore n’auraient tout simplement jamais reçu de mises à jour EFI. C’est le cas de 16 modèles de Mac, allant du MacBook Air au Mac Pro…

Autre situation étrange : un Mac fonctionnant sous Mac OS X 10.11 peut recevoir des mises à jour EFI différentes de celles d'un même modèle sous macOS 10.12. Une situation particulièrement confuse donc, où un système parfaitement mis à jour peut quand même présenter une faille dans son EFI (« software secure but firmware vulnerable », selon le mot de Duo Security).

Apple n’aide d’ailleurs pas à s’y retrouver. Une mise à jour de sécurité livrée en début d’année contenait des versions du firmware EFI plus anciennes que celles fournies avec avec le précédent patch ! Afin de vérifier si l’EFI de son Mac présente des vulnérabilités, les chercheurs en sécurité sont en train de développer un utilitaire, EFIgy. Le développement est encore en cours.

Le grand public n’a a priori pas grand chose à craindre de ce type d’attaques : ce genre de failles est plutôt exploitée pour cibler des utilisateurs bien particuliers, comme des journalistes, des industriels, des opposants. Et, encore une fois, il importe d’avoir un accès physique au Mac.

Cliquer pour agrandir

Duo Security conseille de passer séance tenante sous macOS 10.12.6 qui inclut les derniers firmwares. Apple, mis au courant de ces problèmes en amont, indique à Ars Technica que macOS High Sierra vérifie l’intégrité de l’EFI toutes les semaines.

Les Mac ne sont pas les seuls à souffrir de ce genre de failles EFI. C’est aussi le cas des PC sous Windows et sous Linux, mais il est plus facile de les identifier sur Mac étant donné qu’il n’existe qu’un seul fournisseur de cartes mère.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


26 Commentaires Signaler un abus dans les commentaires

avatar r e m y 29/09/2017 - 15:38 via iGeneration pour iOS (edité)

Un peu à côté de la plaque, la reponse d'Apple.
Vérifier l'intégrité de l'EFI c'est bien! Mais ca ne garantit pas qu'il soit à jour, ni que les failles y aient été corrigées... juste qu'il est bien tel que livré par Apple.

D'autre part, si au moment où DuoSecurity a prodigué ses conseils c'était 10.12.6 qui donnait accès aux derniers firmwares en date, désormais c'est 10.13.0 qui dispose des firmwares les plus récents. Doit-on pour autant se précipiter sur HighSierra?
Ce serait bien qu'Apple diffuse les mises à jour firmware indépendamment des mises à jour système!

avatar occam 29/09/2017 - 17:48 via iGeneration pour iOS

@r e m y

"Ce serait bien qu'Apple diffuse les mises à jour firmware indépendamment des mises à jour système!"

Principe que l'on peut généraliser en toute direction.
Il fut un temps où Apple s'y conformait, peu ou prou.

avatar C1rc3@0rc 30/09/2017 - 01:59 (edité)

@occam

Ce serait bien qu'Apple change totalement de politique et de conception pour MacOS. Rien ne justifie de sortir une version majeure de MacOS par an. Les utilisateurs ont besoin d'un MacOS qui soit plus un Linux ergonomique avec un UI stable et esthetique, qu'un Windows Vista grassouillet mettant a genoux les machines les plus puissantes et bouré de gadgets inutiles.

Le principal enjeu pour les OS aujourd'hui c'est la securité. Par definition, l'instabilité est une faille de securité, et sortir des versions publiques qui sont en realité des beta bourrées de failles c'est aller dans le sens opposé de la demande.

Le besoin c'est aussi d'avoir un OS qui exploite de maniere optimale le materiel, cela en toute securité et de maniere compatible avec les standards. Elle est finie l'epoque d'internet Explorer, aujourd'hui les lois imposent l'interoperabilité, et l'OS doit etre conçu avec cette idee en tete.

Par definition, avec des OS qui sont des unix, plus une machines est ancienne et plus elle est securisée et exploité au mieux. Cela va dans le sens opposé de l'idee d'obscolescence programmée qui est le credo d'Apple, mais c'est la nature de l'Unix.
Et a ce niveau la conception de fond d'Unix permet justement de mettre a jour et amelioré des parties "atomique" sans toucher au reste du systeme. Donc techniquement tout permet a Apple de faire evoluer MacOS vers plus de securité et d'efficacité sans devoir reecrire des pans entier de l'OS et en introduisant de l'instabilité et de l'inconstance comme c'est le cas actuel.

Mais bon, il s'agit la d'une strategie industrielle et Apple devrait faire un sacré changement d'objectif et de moyen pour revenir sur sa pratique d'obsolescence programmée digne de l'industrie automobile...



avatar occam 30/09/2017 - 09:44 via iGeneration pour iOS

@C1rc3@0rc

Absolument d'accord.

Je suis fatigué de devoir le dire, en tout lieu et sur tous les fronts.

Merci donc de prendre le temps de l'expliquer ici, amplement.

Il faut documenter le fait que certains gâchis, et la dégringolade conceptuelle à laquelle nous assistons, n'étaient guère inévitables.

avatar MarcMame 29/09/2017 - 15:52 via iGeneration pour iOS

Si on est un journaliste d'opposition à l'industrie j'en conclue que c'est sans doute trop tard.

avatar Tobias2017 29/09/2017 - 16:20

C'est quoi un EFI?

avatar reborn 29/09/2017 - 16:21 via iGeneration pour iOS

@Tobias2017

Le bios des macs

avatar Novezan 29/09/2017 - 16:25 via iGeneration pour iOS

@reborn

Pas seulement...
Ça tent à remplacer les BIOS

avatar reborn 29/09/2017 - 17:57 via iGeneration pour iOS

@Novezan

C'est en quelque sorte l'equivalent, même si l'EFI est plus évolué.

avatar Novezan 29/09/2017 - 18:58 via iGeneration pour iOS

@reborn

Tout à fait ;-)

avatar C1rc3@0rc 30/09/2017 - 02:00

@reborn

Faudrait definir en quoi c'est plus evolué que les autres BIOS...

avatar reborn 30/09/2017 - 17:33 via iGeneration pour iOS

@C1rc3@0rc

EFI pour les macs, UEFI chez les PC

BIOS chez les anciens pc.

Compare à l'utilisation et en terme de fonctionnalité (plus ou moins utile) un BIOS avec un UEFI, tu aura la réponse.

avatar C1rc3@0rc 02/10/2017 - 14:17

@reborn

Faudrait definir en quoi c'est plus evolué que les autres BIOS...

avatar PierreBondurant 29/09/2017 - 16:32 via iGeneration pour iOS

Encore un indicateur objectif que le mac est délaissé...

avatar mmmathieu 29/09/2017 - 17:12 via iGeneration pour iOS

@PierreBondurant

Euuuu tu vas un peut vite là...

avatar occam 29/09/2017 - 17:49 via iGeneration pour iOS

@mmmathieu

"Euuuu tu vas un peut vite là..."

Ah bon ? Et pourquoi donc ?

avatar C1rc3@0rc 30/09/2017 - 02:09

@PierreBondurant

Pas la peine d'indicateur, c'est un fait constaté depuis un moment... au moins 2012.
Maintenant la question c'est de savoir si Apple est en train de changer d'avis et de se donner les moyens de revenir sur cette erreur historique majeure.

La situation est tres ambiguë.
D'un coté on a l'exercice de contrition publique jamais fait avant pas Apple qui reconnait la connerie de conception du MacPro Poubelle pondu par Ive, et plus generalement l'inadaptation des Mac au marché productif (cad les "pro"). et de l'autre, on a comme reponse l'iMac Pro, une chimere totalement delirante, qui prend le pire du Mac Pro et arrive a faire encore pire, tout ça dans un nuage de vaporware des plus opaque.
Le tout renforcé par un iOS 11 qui renforce la complication et la volonté d'independance des device, iPad Pro en tete, et des processeurs ARM qui mettent une pâtée a Intel, mais sans rentrer dans les Mac, qui eux continuent de recevoir majoritairement les bouses d'Intel, loin de l'offre la plus adaptée...

Bref, si Apple est en train de reconstituer un pole Mac, faudrait communiquer dessus et tres vite, parce que la c'est plus le cimetière qui se profile a l'horizon.

avatar PierreBondurant 30/09/2017 - 16:04 via iGeneration pour iOS

@C1rc3@0rc

Je trouve l’iMac tres sympa mais je comprends pas non plus qu’il ait été choisi pour devenir le Mac Pro... rien n’est modifiable et les ports sont très limités donc aucune souplesse.
Juste un écran qui claque, principale innovation sur Mac depuis pas mal d’années (innovation bienvenue bien sur mais bon c limité)

A travers son partenariat avec IBM, j’ai cru comprendre qu’apple bossait sur du soft deporté niveau serveur (ibm cloud), avec juste une interface au niveau terminal utilisateur: clairement un schéma pensé pour iPad / iPhone.
Je pense que le Mac reste au catalogue tant qu’il n’aura pas été complément remplacé par l’iPad chez les utilisateurs, mais que ses jours sont comptés...

avatar reborn 30/09/2017 - 17:35 via iGeneration pour iOS

@PierreBondurant

L'imac pro n'est pas le nouveau mac pro. Le prochain mac pro serait dispo fin 2018 voir 2019.

avatar Average Joe 01/10/2017 - 13:42

Si les jours des Mac étaient vraiment comptés, ils auraient déjà disparu. D'ailleurs il est significatif que l'effort porté sur l'iMac Pro le soit sur un ordinateur de bureau plutôt que sur un portable. Ce type d'informatique a de beaux jours devant lui, c'est bien pour cela qu'on en fabrique toujours, chez  comme ailleurs.

avatar C1rc3@0rc 02/10/2017 - 14:26

@Average Joe

«Si les jours des Mac étaient vraiment comptés, ils auraient déjà disparu.»

J'ai entendu ce meme discours concernant les Xserve...

«il est significatif que l'effort porté sur l'iMac Pro le soit sur un ordinateur de bureau plutôt que sur un portable.»
iMac pro = Mac Pro poubelle, mais ne plus limité.
De quel effort il s'agit?
Il sagit de faire rentrer un Xeon et un GPU AMD, deux goinfres suants tres vite, dans un form factor sur-amorti. Ces des inge qui sont en charge de cette abberation doivent plus avoir beaucoup de cheveux, mais sinon, c'est pas une nouvelle machine, c'est du tres vieux et tres rentabilisé... Apres, faut aussi qu'il sorte vraiment un jour.

Le nouveau Mac Pro de 2019, rien n’indique qu'il y ait la moindre realité derrriere cette annonce commerciale. Si l'iMac Pro est un echec, alors peut etre qu'Apple songera a redaire des Mac pour develppoper. en attendant, y a rien a voir.

avatar en ballade 29/09/2017 - 17:21 via iGeneration pour iOS

Vive la variété des cartes mères des autres constructeurs.

avatar angelbj 29/09/2017 - 17:21 via iGeneration pour iOS

Attendre que l'OS soit stabilisé me semble aussi une chose à prendre en compte. J'attendrais quelques mois avant d'y passer.

avatar C1rc3@0rc 30/09/2017 - 02:11

@angelbj

Oui c'est la sagesse et la raison, mais cela n'enleve rien au probleme de fond que la politique d'Apple en terme de securité et d'efficacité est totalement indigente.

A ce niveau, avec la degradation de l'interface et des performances des Mac, y a plus grand chose qui retient de passer a Windows. Voire a Linux.

avatar 0MiguelAnge0 30/09/2017 - 00:47 via iGeneration pour iOS

Et quand Apple bloque l'installation à EL Capitan?? On jette puis on rachète???

Pages