Six chercheurs en sécurité ont publié leur découverte d'une faille de sécurité impliquant des périphériques Thunderbolt 3 et des cartes PCI Express. Alertés depuis 2016, Apple, Microsoft, ou encore Intel ont déployé des correctifs mais l'ensemble des problèmes n'a pas encore été réglé.
Cet ensemble de vulnérabilités est baptisé "Thunderclap". L'équipe a remarqué des lacunes dans les systèmes d'exploitation au niveau du contrôle d'accès à la mémoire de ces cartes PCIe et périphériques Thunderbolt.
Pour des questions de performances, ces matériels (cartes graphiques, support de stockage) disposent d'un accès direct à la mémoire de l'ordinateur hôte (le direct memory access, ou DMA). Si les défenses vis-à-vis d'un matériel, dont le firmware aura été compromis, ne sont pas suffisantes, cela lui ouvre la voie pour récupérer des informations en RAM, exécuter des applications ou en installer discrètement.
Une parade à une telle liberté existe au travers d'un composant système, l'Input-Output Memory Management Unit (IOMMU). Il restreint l'accès de ces périphériques aux seules zones mémoires dont elles ont besoin, les empêchant d'aller regarder ailleurs.
Le revers de cette protection est qu'elle dégrade les performances, là où certains de ces périphériques sont au contraire en demande d'une vitesse d'exécution maximale.
Lors de leur découverte, les chercheurs ont constaté que l'IOMMU était absent sur de nombreux PC fonctionnant avec Windows 7, Windows 8 et Windows 10 Home/Pro. Avec comme conséquence de donner accès à 100% des données en mémoire. Dans Windows 10 Enterprise c'était une option, et encore, une fois activée elle avait un effet limité. Linux et FreeBSD en disposaient mais beaucoup de distributions ne l'activaient pas. En définitive, seul macOS s'en servait par défaut.
L'équipe a pu valider ses recherches au moyen d'une fausse carte réseau branchée sur ces différentes systèmes. Ce périphérique a pu lire par exemple des échanges de données réseau qui ne lui étaient pas destinés. Sur macOS et FreeBSD, les chercheurs ont pu lancer des applications, et sur Linux accéder à des éléments du noyau.
Il a été observé aussi, sur macOS, que les périphériques n'étaient pas protégés les uns des autres : « Une carte réseau est autorisée à aller lire le contenu affiché à l'écran et intercepter les frappes de touches d'un clavier USB ».
L'intérêt du Thunderbolt est qu'il connecte des matériels très variés : docks d'alimentation, cartes graphiques, écrans, disques durs. Ce qui ouvre tout un éventail de points d'entrée si leurs firmwares ont été altérés à des fins malveillantes. Une fois l'équipement infecté, il suffit de le brancher sur l'ordinateur visé. Sur Mac il n'y a pas de validation de la part de l'utilisateur pour accepter un périphérique et, sur PC, les infos données à l'utilisateurs dans la boîte de dialogue ne sont pas de nature à éveiller sa méfiance. Face au choix d'accepter ou de refuser la connexion, il n'a pas de raison particulière de dire non.
Depuis 2016 les chercheurs ont partagé le fruit de leur travail avec les éditeurs concernés. Apple a bloqué avec macOS 10.12.4 le risque de laisser un accès administrateur à la machine. La Pomme est intéressée au premier chef au vu du large usage qu'elle fait du Thunderbolt. Tous ses portables en ont depuis 2011, et dans la gamme actuelle il n'y a plus que le MacBook Retina et l'ancien MacBook Air qui en sont dépourvus.
Les autres éditeurs et fabricants ont aussi amélioré leurs protections mais l'ensemble des possibilités offertes par Thunderclap n'a pas encore été réduit au silence, soulignent les chercheurs.
Au point, expliquent-ils, qu'un vendeur de portables très populaire a repoussé l'utilisation prévue du Thunderbolt dans de prochaines gammes, en attendant d'en savoir plus sur la manière d'éradiquer ces vulnérabilités.