Des chercheurs de F-Secure sont parvenus à extirper des données provenant de Mac et de PC, y compris lorsque ces données sont chiffrées avec FileVault (macOS) ou BitLocker (Windows). Pour y parvenir, il faut un préalable important : avoir l’ordinateur sous la main, ce qui limite les risques. Malgré tout, la faille débusquée reste importante, puisque toutes les machines (portables et de bureau) sont potentiellement concernées… à l’exception des Mac équipés d’une puce T2.
La faille, qui s’appuie sur une attaque par démarrage à froid, permet aux chercheurs de contourner l’écrasement de la mémoire que l’ordinateur met en œuvre juste après son extinction. Une opération qui évite que ces données ne puissent être récupérées… mais les fins limiers ont trouvé un moyen de désactiver ce processus de purge.
Les chercheurs ne détaillent pas la faille, dont l’exploitation demande de procéder à quelques manipulations — en plus d’avoir un accès physique à la machine. À les entendre, cette technique demeure néanmoins relativement simple et il serait étonnant qu’elle n’ait pas déjà été utilisée par des groupes de malandrins. Ce d’autant que le chiffrement des données comme FileVault n’est manifestement d’aucun secours.
Une fois que ces bidouilleurs ont trouvé la manière de faire, il ne leur a fallu que quelques heures pour mettre au point un outil « proof-of-concept » empêchant l’ordinateur de purger sa mémoire. Les chercheurs peuvent ensuite récupérer les clés de chiffrement du disque, puis faire monter le volume protégé (soi-disant, donc).
À partir de là, il est facile de subtiliser des informations sensibles contenues dans le stockage du PC ou du Mac. Avant qu’elle soit rendue publique, la trouvaille a bien sûr été transmise à Microsoft, Intel et Apple ; Microsoft explique qu’utiliser un mot de passe de déverrouillage au lancement du PC permet de réduire les risques (mais les utilisateurs des versions Famille de Windows sont laissés sur le carreau).
Intel n’a pas commenté la nouvelle. Du côté d’Apple, si les Mac avec puce T2 n’ont rien à craindre (les iMac Pro et les MacBook Pro 2018), le constructeur conseille de mettre en place un code de déverrouillage. La Pomme va aussi développer des mesures de protection pour ses ordinateurs sans T2.
Source :
