Déplombage de la puce T2 : un danger pour la sécurité du Mac 🆕

Mickaël Bazoge |

Mise à jour 13/10 — La team t8012, qui se fait fort de craquer la T2 pour en démontrer le potentiel insoupçonné, a présenté en vidéo le déplombage d'un MacBook Pro équipé d'une Touch Bar. Il suffit d'un câble USB-C modifié et des deux failles de sécurité décrites ci-dessous pour y parvenir. L'utilisateur n'a pas son mot à dire, il faut simplement brancher le câble.

Le jailbreak de la T2 permet de tripatouiller l'EFI — le programme de démarrage — du Mac pour par exemple modifier le logo d'Apple au boot de la machine :

L'équipe de bidouilles va commercialiser le fameux câble USB-C, qui sera disponible le mois prochain pour 49 $.


Article d'origine 5/10 — Le jailbreak checkra1n est capable de déplomber la puce T2 des Mac récents. Voilà qui ouvre des possibilités pour les malandrins, s'alarme Niels H., un chercheur en sécurité indépendant. En combinant la faille de sécurité checkm8, à l'origine de checkra1n, avec une autre vulnérabilité dénichée par la fameuse équipe Pangu, un malandrin peut accéder à la T2 : accès root complet et privilèges pour exécuter du code dans le noyau.

Le brigand ne peut pas déchiffrer les données d'un volume FileVault 2, mais il pourra toujours installer en douce un keylogger pour enregistrer les frappes du clavier et ainsi subtiliser identifiants et mots passe. Les mécanismes de sécurité du verrouillage d'activation — intégrés à la fonction Localiser — peuvent également être contournés. Et puisqu'il s'agit d'une faille qui touche le BootROM (SepOS) de la T2, un volume en lecture seule, il est impossible de la boucher à moins d'une mise à jour matérielle.

Ceci étant dit, il y a des contraintes, d'abord physiques : il faut que le forban ait un accès direct au Mac, dans lequel il pourra entrer par effraction avec l'aide d'un câble USB-C trafiqué. Pour l'utilisateur qui se sentirait en danger, mieux vaut donc garder son Mac toujours près de soi, autant que possible. En cas de doute, il est toujours possible de réinstaller bridgeOS sur la puce T2 avec Apple Configurator (mode d'emploi, mais attention c'est velu).

Depuis le mois d'août, Niels H. a alerté Apple à de multiples reprises, sans réponse de la part du constructeur. Il espère qu'en communiquant publiquement sur cette faille, la Pomme prendra la mesure du problème.


Tags
avatar r e m y | 

@Krysten2001

Ben... le portable le plus sécurisé ne l'est plus tant que cette faille n'est pas corrigée.

avatar Krysten2001 | 

@r e m y

Si car la puce est toujours là. C’est mieux que ça que pas du tout.

avatar CorbeilleNews | 

@mat16963

Je vais vous aider : faut chercher du côté des clients 😉

avatar CorbeilleNews | 

@fte

Mais si mais si puisqu’on vous l’dit 😇

avatar codeX | 

Pas de réponse ne signifie pas qu'ils ne foutent rien.

avatar JokeyezFX | 

Les brigands et forbans, c’est sympa, mais je préférais tout de même les articles ou seul le terme de malandrin était utilisé ☺️

avatar raoolito | 

@JokeyezFX

Moi je propose « les ennemis » ⚔️

avatar Nesus | 

Vous avez réfléchi 2 secondes avant d’écrire cet article ?
Alors oui, le jailbreak rend la puce T2 potentiellement vulnérable. Tout comme tous les autres Mac qui n’ont pas de T2.
Donc oui, c’est une mauvaise nouvelle pour ceux qui ont acheté un Mac avec T2 pour plus de sécurité (ce qui sera là cas tant que ce n’est pas jailbreaké. Ce qui n’est pas si simple que ça et laisse toutes les attaques soft sur le carreau), mais ça ne transforme pas le Mac en moins sécurisé qu’un autre...
Bref, il a voulu se faire sa pub et vous avez foncé tête baissé...

C’est par contre une mauvaise nouvelle pour Apple qui va l’utilité de sa puce grandement diminuer, mais bon, ils passeront à T3...

avatar pocketjpaul | 

@Nesus

C'est vous qui n'avez pas lu l'article : contrairement à ce que je pensais, Apple a pris la décision de laisser un accès root à l'OS à la puce T2. Donc contrairement à ce que j'affirmais sous un article précédent, un mac avec T2 trouée se retrouve moins protégé qu'un mac sans.

Certes il est toujours impossible de déchiffrer immédiatement le disque pour un attaquant, mais il est tout à fait possible d'injecter un programme qui aura accès à tout le système dès l'instant même où l'utilisateur déverrouillera innocemment sa machine.

Cela étant si Apple n'est pas trop bête, il leur est toujours possible de pousser une mise à jour qui change la stratégie de sécurité pour ne donner qu'un accès limité à l'OS à la T2 (que rien ne justifie sinon la flemme)

avatar r e m y | 

@pocketjpaul

Mais comme l'OS s'appuie sur la T2 pour certaines tâches (décodage des DRM 4K de Netflix par exemple...), j'imagine qu'Apple ne peut pas isoler la T2 de l'OS, si?

avatar pocketjpaul | 

@r e m y

Non bien sûr il ne faut pas isoler la puce T2. Mais la puce T2 n'as pas non plus besoin d'avoir un accès root à l'OS. Ce n'est pas nécessaire pour décoder des DRM par exemple. Ou pour répondre oui ou non à une demande d'authentification via TouchID.

avatar Nesus | 

@pocketjpaul

Une fois le jailbreak effectué, ce dernier ne pouvant être fait que via un accès physique. Bref rien de moins que ce qu’on peut déjà faire dans l’efi.

avatar pocketjpaul | 

@Nesus

Un accès physique ne permet pas de déchiffrer un mac efi chiffré par timevault. Là, un accès physique peut injecter un programme qui sera reveillé quand l'utilisateur légitime déchiffrera lui même le disque avec son mot de passe.

avatar vache folle | 

“Depuis le mois d'août, Niels H. a alerté Apple à de multiples reprises, sans réponse de la part du constructeur. Il espère qu'en communiquant publiquement sur cette faille, la Pomme prendra la mesure du problème.”

Tiens, la pomme nous démontre une fois de plus qu’entre la parole et les actes, il y a un énorme monde.

Apple, chantre de la sécurité. Mon ****, oui!

avatar Ducletho | 

Grâce à la puce T2, ça simplifiera le hack d’un Mac pour avoir les mdp. Fallait y penser, mais c’est vrai qu’Apple a toujours pensé interface conviviale pour ses utilisateurs

avatar pacou | 

Peut être qu’on pourra plus facilement installer un OS alternatif sur un Mac ?
Mais tout de même, c’est pas cool de se croire en sécurité alors que finalement moins que prévu.

Quant à la complainte ´Apple ne m’a pas répondu’, c’est pas poli de ne pas dire merci, soit, mais Apple a t’elle l’obligation de le faire?
Apple a l’obligation de trouver une solution, pas de commenter, il me semble.

avatar rikki finefleur | 

Si tu roules avec un pneu qui se dégonfle , tu remerciera la personne qui t'a prévenu..
Franchement trouver des excuses a une société à qui on signale des failles et qui ne prend même pas la peine de vous remercier :
- 1 ce n'est pas sérieux
- 2 Ce n'est pas poli.
- 3 et que penser de la sécurité vis à vis de ses propres clients...

avatar oomu | 

intéressant.

(la seule chose qui m'intéresse est si éventuellement cela me donne plus de pouvoir sur la machine ou si cela permettra à des gens de développer un meilleur support de Linux)

Après, comme toujours, il a jamais été totalement possible pour l'industrie de verrouiller une machine si on a un accès physique (et sous un certain angle de consommateur : tant mieux.)

Ce qui fait que si vous avez des usages critiques d'ordinateur/mobile vous ne pouvez pas compter sur lui si vous l'avez perdu de vue un bon moment. Vous êtes forcé de partir du principe que laisser sans surveillance, quelqu'un a peut être injecté un trojan/hack/truc pour exploiter une faille de sécurité.

Ce conseil reste valide, trusted computing ou non, T2 ou non, enclave intel ou non, etc.

-
"Quant à la complainte ´Apple ne m’a pas répondu’, c’est pas poli de ne pas dire merci, soit, mais Apple a t’elle l’obligation de le faire?
Apple a l’obligation de trouver une solution, pas de commenter, il me semble."

C'est les bonnes pratiques de l'industrie, après un délai, de reconnaitre publiquement une alerte de sécurité et d'annoncer son éventuelle prise en charge.

De longue date, des communautés de sécurité informatique essaient de plier Apple à ses pratiques. Apple annonce de temps à autre : "ça y est, cette fois, on est prêt, on va le faire", et pis se rendort dans son mutisme jobsien :)

il ne s'agit donc pas d'une complainte de pas avoir eu un bisou mais de tenter de formaliser les pratiques de sécurité de l'ensemble de l'industrie et que ces hackers de la sécurité soient reconnus comme un rouage de l'industrie. (ce qui les justifierai comme acteurs à financer de l'industrie).

-
Apple n'a aucune obligation si ce n'est de respecter le contrat avec MOA (lors d'un achat), les contrats avec ses vict..heu partenaires/associés et la loi de MON pays. ;)

Elle a même pas l'obligation de corriger/patcher/amender le système d'un ordi qu'on a déjà acheté. Tout juste la licence d'un iphone/ipad dit qu'on aura droit jusqu'à un certain nombre de mises à jour de ios. sans s'engager formellement.

avatar Moonwalker | 

En cas d'accès physique à une machine, la notion de sécurité n'a plus lieu d'être.

Cela relativise beaucoup les circonvolutions de certains lecteurs de MacG autour de cette faille.

La "mauvaise" nouvelle est pour les agences qui connaissaient cette faille et se la gardaient sous le coude ou l'utilisaient sans en avertir personne. Il faudra bientôt qu'ils utilisent autre chose, enfin, qu'ils passent à la faille suivante. Pas toujours drôle la vie de Chinois du FBI.

avatar pocketjpaul | 

@Moonwalker

Dans l’absolu vous avez raison et c’est la règle de base en sécurité informatique.

Dans la pratique il y’a plusieurs niveaux d’accès physique. Si je laisse mon MacBook verrouillé 10min dans la même pièce qu’un voyou je suis assez confiant sur le fait qu’il ne va pas s’amuser à le démonter pour y insérer une puce custom qui lui permettra d’accéder à mes données quand je rentrerai mon mot de passe FileVault.

Dans le cas de la faille dont on parle, il n’a qu’à brancher un câble à mon mac pendant quelques secondes. Il peut faire ça même si il y’a du monde autour de lui. Une fois le méfait accompli il n’y a aucune trace. Le crime parfait.

Il faut plutôt voir la règle de l’accès physique comme une boîte fermée par un cadenas : c’est sûr que n’importe qui peut l’ouvrir si il le veut vraiment une fois que la boîte est chez lui. Par contre n’importe qui ne peut pas l’ouvrir rapidement , discrètement et sans laisser de traces pendant que tu es allé faire tes besoins.

avatar popeye1 | 

Une RIGOLADE finalement. J'ai mon widget secret sur la page d'accueil de mon iPhone. Et Hop le tour est joué.
Quand est-ce qu'apple nous foutra la paix ? On ne peut pas passer son temps à contempler les entrailles de la bête. Si on achète ce matériel qui coûte un bras (tous les bras que la grande et noble entreprise engrange dans son immense bas de laine), c'est pour faire autre chose de plus utile. Enfin pour moi c'est ça.
Je prends l'exemple de MathType (parce que j'en ai besoin). Il y longtemps c'était une merveille. Puis sont arrivés les processeurs à beaucoup, beaucoup de bits. En fallait-il autant que ça ? Apple a décidé que oui sans nous demander notre avis. Pan ! Mathtype au tapis. La société qui développe ce logiciel se remet au travail et enfin sous Mojave, ça REMARCHE. La-dessus arrive Catalina. Pan, Pan: Mathtype au tapis pour la seconde fois. Merde, y en a marre. Y aurait-il des solutions :
1 ) Repasser sous Windows. On y trouve même mathtype gratuit !
2) Apple et tous ses développeurs patentés s'y collent et Mathtype suit les mises à jour mitraillette. Ce serait plus intelligent que de nous gaver de modifications cosmétiques qu'on nous fait passer pour indispensables.

Bref, je faisais plus de choses utiles il y a 15 ans avec un ordi 2 fois moins puissant et un disque dur de capacité modeste. Ça vaut le coup d'y réfléchir et de voir si on ne peut pas trouver chaussure à son pied ailleurs. j'en suis là !

avatar raoolito | 

—-
alors suite à la demo de l’exploit, c’est dommage qu’il manque certaines precisions.
ce qu’on sait:
* il faut un acces physique à la machine
* brancher un cable usb suffit

ce qu’on ne sait pas
* quid de l’option de bloquer le port usb avec openfirmware (à l’ancienne)
* là le user etait déjà loggé, donc si on allume un mac que se passe-t-il ?
* acceder à un contenu crypté sous firevault ?
* ou meme au contenu qui de base est deja crypté par le T2 ?
* quoi d’autre à part changer le logo de la pomme ?

avatar reborn | 

@raoolito

En gros c’est une sorte de thunderstrike 3 🤷‍♂️
L’impression que cette faille donne c’est que le mac est moins sécurisé qu’avant.

Mais avant il suffisait juste d’enlever le disque dur et d’aller le lire ailleurs.

Pages

CONNEXION UTILISATEUR