Une faille touche tous les PC et les Mac, sauf les iMac Pro et MacBook Pro avec T2
Des chercheurs de F-Secure sont parvenus à extirper des données provenant de Mac et de PC, y compris lorsque ces données sont chiffrées avec FileVault (macOS) ou BitLocker (Windows). Pour y parvenir, il faut un préalable important : avoir l’ordinateur sous la main, ce qui limite les risques. Malgré tout, la faille débusquée reste importante, puisque toutes les machines (portables et de bureau) sont potentiellement concernées… à l’exception des Mac équipés d’une puce T2.
La faille, qui s’appuie sur une attaque par démarrage à froid, permet aux chercheurs de contourner l’écrasement de la mémoire que l’ordinateur met en œuvre juste après son extinction. Une opération qui évite que ces données ne puissent être récupérées… mais les fins limiers ont trouvé un moyen de désactiver ce processus de purge.
Les chercheurs ne détaillent pas la faille, dont l’exploitation demande de procéder à quelques manipulations — en plus d’avoir un accès physique à la machine. À les entendre, cette technique demeure néanmoins relativement simple et il serait étonnant qu’elle n’ait pas déjà été utilisée par des groupes de malandrins. Ce d’autant que le chiffrement des données comme FileVault n’est manifestement d’aucun secours.
Une fois que ces bidouilleurs ont trouvé la manière de faire, il ne leur a fallu que quelques heures pour mettre au point un outil « proof-of-concept » empêchant l’ordinateur de purger sa mémoire. Les chercheurs peuvent ensuite récupérer les clés de chiffrement du disque, puis faire monter le volume protégé (soi-disant, donc).
À partir de là, il est facile de subtiliser des informations sensibles contenues dans le stockage du PC ou du Mac. Avant qu’elle soit rendue publique, la trouvaille a bien sûr été transmise à Microsoft, Intel et Apple ; Microsoft explique qu’utiliser un mot de passe de déverrouillage au lancement du PC permet de réduire les risques (mais les utilisateurs des versions Famille de Windows sont laissés sur le carreau).
Intel n’a pas commenté la nouvelle. Du côté d’Apple, si les Mac avec puce T2 n’ont rien à craindre (les iMac Pro et les MacBook Pro 2018), le constructeur conseille de mettre en place un code de déverrouillage. La Pomme va aussi développer des mesures de protection pour ses ordinateurs sans T2.
J'ai du mal comprendre ... Ils ont accés au contenu des machines qui n'on pas de mot de passe au démarrage ? En somme c'est normal non ? S'il n'y a pas de mot de passe ... Tous le monde a accés aux données non ?
@magic.ludovic
J’avoue à aussi avoir du mal à comprendre ?
@magic.ludovic
Pareil, j’ai laissé les clefs sur la voiture et quand je suis revenu elle n’y était plus ???
@Serdinant
sont trop fort ! ils ont pirate ta voiture !!! avec TES clefs !! fait gaffe ils vint pirater ta maison avec tes clefs aussi !
@Cockring
Mais j’ai peur là !! ?
si ca continu les cilain pirates vont memes aller dans nos frigo !!! en se servant de la poignee !
@ Cockring
J'ai mon frangin qui pirate ma machine Nespresso chaque fois qu'il passe me dire bonjour
Code de dévérouillage? ?
Un mot de passe de session? Ou un mot de passe BIOS/EFI?
MacG ou quelqu’un d’autre qui sait exactement de quoi on parle peut-il éclairer ma lanterne svp? ??
@Ben_75
Bios Efi, à mon avis.
@bugman
Je pense aussi, merci!
@Ben_75
Disons que quand le login est demandé cela fait bien longtemps que la mémoire doit etre effacée (et pas mal de services sont déjà lancés).
Voir le commentaire de byte_order.
De rien.
Encore une faille sur les mac, il a 3 jours je me suis fait souffler dans les bronches par la garde rapprochée des macos, car j'avais osé mettre un article qui mettait en causse le App Store et ses appli vérolés en croyant rendre service...
@Ami74
on parle d'une faille sur TOUS les ordinateurs, et majoritairement les PCs...
Tu t’es fait recadrer parce que t’es une nouille qui nous pollue le forum technique avec des liens idiots et des pratiques stupides.
@Ami74
ben oui mais... t'es un peu crétin aussi (l'aveuglement du hater) puisque c'est une faille sur TOUS les ordi sauf ... certains Mac précisément (avec T2)
donc pas si mal finalement ces T2 tant vilipendées par les haters...
J’avoue ne pas comprendre non plus cette histoire de code de déverrouillage ..
Le code de déverrouillage du firmware de boot.
Le BIOS/UEFI, quoi.
L'attaque repose sur une modification par accès physique, ordinateur éteint, à la flashrom contenant les paramètres d'UEFI pour alterer les paramètres "effacer la RAM" à NON et "autoriser les boots sur support externe" à OUI, puis booter la machine avec un support externe contenant un OS et un logiciel qui cherchera dans la RAM, non effacée, des données rémanentes comme des login / mots de passe.
En incitant à activer le code de déverrouillage demandé par le firmware de boot, les constructeurs espèrent que l'attaquant ne pourra pas enchainer les opérations grace à cette demande de déverrouillage.
C'est illusoire, si l'attaquant peut alterer rapidement les settings en flashrom, il va pas se géner pour altérer le setting "code de déverrouillage au boot" à NO, voir d'installer un code connu.
Une attaque physique se contre en réduisant la facilité d'accès physique, pas autrement.
@kantandane
Peter Bright, bon pédagogue, explique cette catégorie de failles et son historique (assez embarrassant), y compris ce dernier avatar :
https://arstechnica.com/gadgets/2018/09/cold-boot-attacks-given-new-life-with-firmware-attack/?comments=1
Il vaut la peine de lire aussi les commentaires pour comprendre
1. les différences d’approche entre Apple (T2) et Microsoft (BitLocker/TPM + PIN) pour mitiger cette vulnérabilité ;
2. comment la présence du T2 déplace le problème, colmatant la faille au niveau actuel ; mais il faudrait faire absolument confiance à Apple pour la croire éliminée ;
3. pourquoi ce serait un argument de plus en faveur d’un Mac (ou de son successeur) tout-ARM, complètement verrouillé.
> Pour y parvenir, il faut un préalable important : avoir l’ordinateur sous la main,
> ce qui limite les risques
Sous la main *et* qu'il soit encore alimenté ou que son arrêt ne date pas de plus que quelques minutes : la rémanence des mémoires ne dure pas des heures, hein.
Si l'on a accès physique à l'ordinateur, si sa RAM est sur slot, même sans faille de firmware, il suffit d'extraire la RAM pour rapidement la mettre dans un ordinateur d'attaque et booter pour lancer le logiciel de cold boot attack...
La faille est plus intéressante pour les machines dont la RAM est soudée surtout, où l'option de l'extraction rapide de la RAM est moins réaliste (et plus risquée.). Plutôt des ultrabooks, donc.
L'accès physique pour aller modifier les settings EFI en flashROM n'est pas si simple que ca vu le niveau d'intégration de l'assemblage des ultrabooks. Le faire dans le temps pour pouvoir profiter de la rémanence de la RAM après avoir donc désactiver l'effacement de la RAM au démarrage du firmware, cela me parait pas simple...
Ca y est je suis mort de peur.
La faille touchant Safari, révélée en début de semaine, présente bien plus de danger, d'autant que le chercheur l'ayant mise en évidence, a confirmé qu'elle touche toutes les versions de Safari sur toutes les versions d'iOS (à minima depuis iOS 9.3) et également Safari sur macOS.
@SyMich
Toutes les versions de Safari?
Sur iOS ça risque d'obliger à passer vite fait sur iOS12 car je pense que ce sera la seule version d'iOS qui pourra recevoir une mise à jour... ☹️
Et je suis assez d'accord que c'est certainement une faille bien plus dangereuse que celle dont on parle dans cet article.
@r e m y
Ben non. Rien n'empêche Apple de patcher un ancien ios. Ils l'ont déjà fait oar le passé.
@bonnepoire
Je n'en ai pas le souvenir....
A commencer par la faille du protocole WiFi WPA2 qui n'a jamais été patchées sur les versions d'iOS antérieures.
Pourtant même les très vieilles airport ont été mises à jour.
@bonnepoire
Mais pas les iPhone utilisant une version d'iOS inférieure à 11.
Ils constituent donc un point d'entrée non sécurisé sur tout réseau wifi auquel ils se connectent.
C’est moi ou MacG vous donnez l’impression de ne pas trop croire à cette trouvaille ? Vous employez beaucoup de conditionnel...
@ cosmoboy34
Disons qu'une faille sans preuve de quoi que ce soit c'est toujours un peu...
Sinon ça me parais pas si simple pour la simple raison qu’avoir accès à un ordinateur pendant plusieurs heures n’est pas forcément ce qu’il y a de plus simple. Tout dépend du nombre d’heures en fait
Probabilité qu'une telle chose puisse vous arriver : 0.00000000000000000000000000000001%
@Fan2ElodieFrege
https://media3.giphy.com/media/GhjYhanhYWaWY/giphy.gif?cid=4bf119fc5b9bd...
C'est encore un itruc pour se vanter de la puce T2. LOL
En attendant seule la puce T2 est à l'abri de ce genre d'attaque même s'il faut pas mal de conditions pour être mise en oeuvre.
Bon puce T2 pour tous les prochains MacBook et pris de l’entrée : 5 000€
Passons la mauvaise foi... en français ça donne quoi?
Y'a que les fragiles et les trisos pour se faire voler son mac ou son iphone
@Adrian SEALELLI
J’attends avec impatience le jour où cela t’arrivera.
Vraiment :)
@ Ielvin
Vu son commentaire c'est sans doute les deux en même temps...