Une faille touche tous les PC et les Mac, sauf les iMac Pro et MacBook Pro avec T2

Mickaël Bazoge |

Des chercheurs de F-Secure sont parvenus à extirper des données provenant de Mac et de PC, y compris lorsque ces données sont chiffrées avec FileVault (macOS) ou BitLocker (Windows). Pour y parvenir, il faut un préalable important : avoir l’ordinateur sous la main, ce qui limite les risques. Malgré tout, la faille débusquée reste importante, puisque toutes les machines (portables et de bureau) sont potentiellement concernées… à l’exception des Mac équipés d’une puce T2.

La faille, qui s’appuie sur une attaque par démarrage à froid, permet aux chercheurs de contourner l’écrasement de la mémoire que l’ordinateur met en œuvre juste après son extinction. Une opération qui évite que ces données ne puissent être récupérées… mais les fins limiers ont trouvé un moyen de désactiver ce processus de purge.

Les chercheurs ne détaillent pas la faille, dont l’exploitation demande de procéder à quelques manipulations — en plus d’avoir un accès physique à la machine. À les entendre, cette technique demeure néanmoins relativement simple et il serait étonnant qu’elle n’ait pas déjà été utilisée par des groupes de malandrins. Ce d’autant que le chiffrement des données comme FileVault n’est manifestement d’aucun secours.

Une fois que ces bidouilleurs ont trouvé la manière de faire, il ne leur a fallu que quelques heures pour mettre au point un outil « proof-of-concept » empêchant l’ordinateur de purger sa mémoire. Les chercheurs peuvent ensuite récupérer les clés de chiffrement du disque, puis faire monter le volume protégé (soi-disant, donc).

À partir de là, il est facile de subtiliser des informations sensibles contenues dans le stockage du PC ou du Mac. Avant qu’elle soit rendue publique, la trouvaille a bien sûr été transmise à Microsoft, Intel et Apple ; Microsoft explique qu’utiliser un mot de passe de déverrouillage au lancement du PC permet de réduire les risques (mais les utilisateurs des versions Famille de Windows sont laissés sur le carreau).

Intel n’a pas commenté la nouvelle. Du côté d’Apple, si les Mac avec puce T2 n’ont rien à craindre (les iMac Pro et les MacBook Pro 2018), le constructeur conseille de mettre en place un code de déverrouillage. La Pomme va aussi développer des mesures de protection pour ses ordinateurs sans T2.

avatar magic.ludovic | 

J'ai du mal comprendre ... Ils ont accés au contenu des machines qui n'on pas de mot de passe au démarrage ? En somme c'est normal non ? S'il n'y a pas de mot de passe ... Tous le monde a accés aux données non ?

avatar Chazi | 

@magic.ludovic

J’avoue à aussi avoir du mal à comprendre ?

avatar Serdinant | 

@magic.ludovic

Pareil, j’ai laissé les clefs sur la voiture et quand je suis revenu elle n’y était plus ???

avatar Cockring | 

@Serdinant

sont trop fort ! ils ont pirate ta voiture !!! avec TES clefs !! fait gaffe ils vint pirater ta maison avec tes clefs aussi !

avatar Serdinant | 

@Cockring

Mais j’ai peur là !! ?

avatar Cockring | 

si ca continu les cilain pirates vont memes aller dans nos frigo !!! en se servant de la poignee !

avatar pocketalex | 

@ Cockring

J'ai mon frangin qui pirate ma machine Nespresso chaque fois qu'il passe me dire bonjour

avatar Ben_75 | 

Code de dévérouillage? ?
Un mot de passe de session? Ou un mot de passe BIOS/EFI?
MacG ou quelqu’un d’autre qui sait exactement de quoi on parle peut-il éclairer ma lanterne svp? ??

avatar bugman | 

@Ben_75

Bios Efi, à mon avis.

avatar Ben_75 | 

@bugman

Je pense aussi, merci!

avatar bugman | 

@Ben_75

Disons que quand le login est demandé cela fait bien longtemps que la mémoire doit etre effacée (et pas mal de services sont déjà lancés).
Voir le commentaire de byte_order.

De rien.

avatar Ami74 | 

Encore une faille sur les mac, il a 3 jours je me suis fait souffler dans les bronches par la garde rapprochée des macos, car j'avais osé mettre un article qui mettait en causse le App Store et ses appli vérolés en croyant rendre service...

avatar pocketalex | 

@Ami74

on parle d'une faille sur TOUS les ordinateurs, et majoritairement les PCs...

avatar Moonwalker | 

Tu t’es fait recadrer parce que t’es une nouille qui nous pollue le forum technique avec des liens idiots et des pratiques stupides.

avatar Pipes Chapman | 

@Ami74
ben oui mais... t'es un peu crétin aussi (l'aveuglement du hater) puisque c'est une faille sur TOUS les ordi sauf ... certains Mac précisément (avec T2)

donc pas si mal finalement ces T2 tant vilipendées par les haters...

avatar kantandane | 

J’avoue ne pas comprendre non plus cette histoire de code de déverrouillage ..

avatar byte_order | 

Le code de déverrouillage du firmware de boot.
Le BIOS/UEFI, quoi.

L'attaque repose sur une modification par accès physique, ordinateur éteint, à la flashrom contenant les paramètres d'UEFI pour alterer les paramètres "effacer la RAM" à NON et "autoriser les boots sur support externe" à OUI, puis booter la machine avec un support externe contenant un OS et un logiciel qui cherchera dans la RAM, non effacée, des données rémanentes comme des login / mots de passe.

En incitant à activer le code de déverrouillage demandé par le firmware de boot, les constructeurs espèrent que l'attaquant ne pourra pas enchainer les opérations grace à cette demande de déverrouillage.
C'est illusoire, si l'attaquant peut alterer rapidement les settings en flashrom, il va pas se géner pour altérer le setting "code de déverrouillage au boot" à NO, voir d'installer un code connu.

Une attaque physique se contre en réduisant la facilité d'accès physique, pas autrement.

avatar occam | 

@kantandane

Peter Bright, bon pédagogue, explique cette catégorie de failles et son historique (assez embarrassant), y compris ce dernier avatar :
https://arstechnica.com/gadgets/2018/09/cold-boot-attacks-given-new-life-with-firmware-attack/?comments=1

Il vaut la peine de lire aussi les commentaires pour comprendre
1. les différences d’approche entre Apple (T2) et Microsoft (BitLocker/TPM + PIN) pour mitiger cette vulnérabilité ;
2. comment la présence du T2 déplace le problème, colmatant la faille au niveau actuel ; mais il faudrait faire absolument confiance à Apple pour la croire éliminée ;
3. pourquoi ce serait un argument de plus en faveur d’un Mac (ou de son successeur) tout-ARM, complètement verrouillé.

avatar byte_order | 

> Pour y parvenir, il faut un préalable important : avoir l’ordinateur sous la main,
> ce qui limite les risques

Sous la main *et* qu'il soit encore alimenté ou que son arrêt ne date pas de plus que quelques minutes : la rémanence des mémoires ne dure pas des heures, hein.

Si l'on a accès physique à l'ordinateur, si sa RAM est sur slot, même sans faille de firmware, il suffit d'extraire la RAM pour rapidement la mettre dans un ordinateur d'attaque et booter pour lancer le logiciel de cold boot attack...

La faille est plus intéressante pour les machines dont la RAM est soudée surtout, où l'option de l'extraction rapide de la RAM est moins réaliste (et plus risquée.). Plutôt des ultrabooks, donc.
L'accès physique pour aller modifier les settings EFI en flashROM n'est pas si simple que ca vu le niveau d'intégration de l'assemblage des ultrabooks. Le faire dans le temps pour pouvoir profiter de la rémanence de la RAM après avoir donc désactiver l'effacement de la RAM au démarrage du firmware, cela me parait pas simple...

avatar misterbrown | 

Ca y est je suis mort de peur.

avatar SyMich | 

La faille touchant Safari, révélée en début de semaine, présente bien plus de danger, d'autant que le chercheur l'ayant mise en évidence, a confirmé qu'elle touche toutes les versions de Safari sur toutes les versions d'iOS (à minima depuis iOS 9.3) et également Safari sur macOS.

avatar r e m y | 

@SyMich

Toutes les versions de Safari?
Sur iOS ça risque d'obliger à passer vite fait sur iOS12 car je pense que ce sera la seule version d'iOS qui pourra recevoir une mise à jour... ☹️

Et je suis assez d'accord que c'est certainement une faille bien plus dangereuse que celle dont on parle dans cet article.

avatar bonnepoire | 

@r e m y
Ben non. Rien n'empêche Apple de patcher un ancien ios. Ils l'ont déjà fait oar le passé.

avatar r e m y | 

@bonnepoire

Je n'en ai pas le souvenir....
A commencer par la faille du protocole WiFi WPA2 qui n'a jamais été patchées sur les versions d'iOS antérieures.

avatar bonnepoire | 

Pourtant même les très vieilles airport ont été mises à jour.

avatar r e m y | 

@bonnepoire

Mais pas les iPhone utilisant une version d'iOS inférieure à 11.
Ils constituent donc un point d'entrée non sécurisé sur tout réseau wifi auquel ils se connectent.

avatar cosmoboy34 | 

C’est moi ou MacG vous donnez l’impression de ne pas trop croire à cette trouvaille ? Vous employez beaucoup de conditionnel...

avatar bonnepoire | 

@ cosmoboy34
Disons qu'une faille sans preuve de quoi que ce soit c'est toujours un peu...

avatar cosmoboy34 | 

Sinon ça me parais pas si simple pour la simple raison qu’avoir accès à un ordinateur pendant plusieurs heures n’est pas forcément ce qu’il y a de plus simple. Tout dépend du nombre d’heures en fait

avatar Fan2ElodieFrege | 

Probabilité qu'une telle chose puisse vous arriver : 0.00000000000000000000000000000001%

avatar occam | 
avatar PTT91 | 

C'est encore un itruc pour se vanter de la puce T2. LOL

avatar bonnepoire | 

En attendant seule la puce T2 est à l'abri de ce genre d'attaque même s'il faut pas mal de conditions pour être mise en oeuvre.

avatar en ballade | 

Bon puce T2 pour tous les prochains MacBook et pris de l’entrée : 5 000€

avatar bonnepoire | 

Passons la mauvaise foi... en français ça donne quoi?

avatar Adrian SEALELLI | 

Y'a que les fragiles et les trisos pour se faire voler son mac ou son iphone

avatar Ielvin | 

@Adrian SEALELLI

J’attends avec impatience le jour où cela t’arrivera.

Vraiment :)

avatar bonnepoire | 

@ Ielvin
Vu son commentaire c'est sans doute les deux en même temps...

CONNEXION UTILISATEUR