Le programme de démarrage des Mac encore hacké
Six mois après Thunderstrike, la sécurité du Mac est encore mise à mal par l'intermédiaire de son programme de démarrage (l'EFI). Et cette fois, pas besoin d'un accès physique.
Le chercheur en sécurité Pedro Vilaca, aussi connu sous le pseudo fG!, a découvert un exploit qui permet de modifier à distance l'EFI et ainsi de prendre le contrôle de la machine dès l'allumage et de manière très persistante. Sont concernés tous les Mac sortis avant mi-2014.
L'exploit consiste à attaquer les protections du programme de démarrage juste après la sortie de veille. Le programme est normalement protégé par un dispositif baptisé FLOCKDN qui empêche l'écriture, mais pour une raison inconnue celui-ci n'est pas actif dans ce cas de figure.
En exploitant une autre vulnérabilité permettant de s'arroger les droits administrateurs (par exemple Rootpipe), l'attaquant peut modifier l'EFI. « Les rootkits BIOS (l'autre appellation du programme de démarrage, ndr) sont plus puissants que les rootkits normaux car ils fonctionnent à un niveau inférieur et peuvent résister à une réinstallation de la machine et à une mise à jour du BIOS », a expliqué Pedro Vilaca à Ars Technica.
Il estime que cette attaque n'est pas susceptible d'être utilisée à grande échelle. En revanche, il pense qu'elle pourrait être utilisée pour des opérations très ciblées.
Les Mac sortis à partir de mi-2014 sont immunisés. Le chercheur ne sait pas si Apple a bouché discrètement cette vulnérabilité ou si cela a été résolu par accident. Selon lui, il n'y a pas grand-chose à faire pour se prémunir de cet exploit, si ce n'est désactiver le mode veille. Pour cela, il faut pousser la réglette des préférences d'économie d'énergie sur « Jamais ».

Les utilisateurs les plus aguerris peuvent installer un utilitaire, créé par celui qui a découvert Thunderstrike, qui sert à comparer le firmware de son Mac avec celui d'Apple pour voir s'il n'a pas été altéré.
OS X 10.11 inaugurerait un nouveau système de sécurité, nommé Rootless, qui bloquerait plus strictement l'accès aux éléments systèmes, même si on dispose des droits administrateurs. Une réponse aux grosses failles découvertes ces derniers mois ?
Je ne suis pas certain qu'un "exploit" signifie "une manière d'exploiter une faille" en français. Ça m'a l'air erronéeux, pour ne pas dire d'une certaine irrelevance.
@Yohmi :
En effet mauvais traduction littérale
@MickaëlBazoge :
C'etait la blague lol!
@phoenixback non mais il ne tilte pas non plus sur le "erronéeux" ..
**
@MickaëlBazoge :
Absolutement, je suis positif.
+1. Ça pique les yeux ces anglicismes utilisés à la place de mots français parfaitement valides, et qui du coup sont détournés de leur réelle signification.
Un coup d’œil paresseux dans un dictionnaire montre qu’un exploit en français, ça ne veut pas dire faille. Faille par contre, pour parler d’une faille dans un système, marche très bien. Ça fait moins « hype ». Mais c’est parfaitement compréhensible.
C'est pas grave dans 6 mois les Mac d'avant mi-2014 vont être obsolets. Et puis le CA ne fait qu'augmenter alors...
Y'a des mecs qui sont quand même doués
@enzo0511 :
Bah en même temps c'est un exploit de réaliser ce genre d'"exploit" ;-)
Au fait est-ce que cela concerne le retour de veille quand on déplie un portable ?
Ca choque personne que l'on nous dise de télécharger un utilitaire qu'a créé un hacker pour vérifier si on a pas été attaqué a cause de la faille qu'il a découvert? Faut etre maso non?
Cela pourrait effectivement être dangereux si cette personne n'avait pas ouvert les sources de cet utilitaire. Dans le cas présent, les fichiers sources sont disponibles ici [1] donc vous pouvez parfaitement voir ce que l'utilitaire fait et même compiler cet utilitaire vous-même en cas de doute.
Si les sources étaient fermées / privées, cet utilitaire serait évidemment à éviter.
[1] https://bitbucket.org/hudson/spiflash/src
@Erravid :
Oui. Reste plus qu'à l'analyser '
Ça n'est peut-être pas directement dans le sujet – quoi que… – mais je viens de vivre deux mésaventures sur deux MBP successifs ; sans que j'aie fait quoi que ce soit mes machines se sont bloqués avec un joli cadenas blanc sur mon écran. Retour SAV pour débloquer ce vilain EFI. et, bien entendu, personne n'a pu me donner d'explication valable ;-(
@languedoc :
Ca c'est du partage d'écran avec l'application Remote Control d'Apple avec une demande de verrouillage de l'écran par celui qui intervient.
Je l'ai déjà fait pour prendre le contrôle de mes machines pour faire des opérations d'administration sans que l'utilisateur ne voit ce que l'on fait.
Si tu n'est pas dans un milieux informatique administré, c'est inquiétant ton truc.
Il faut vérifier, au minimum, tes réglages de partage réseau et désactiver les accès distants si tu n'en a pas besoin.
Ca me pose question ce truc. Si c'est l'EFI qui est touché, quelque soit le système installe l'accès à la machine est possible, même si c'est du Linux ou du Windows.
A moins que GRUB empêche ce truc de fonctionner?...