Microsoft invoque la sécurité pour expliquer l'absence de Thunderbolt 3 dans les Surface

Mickaël Bazoge |

C'est à un train de sénateur que Microsoft a intégré l'USB-C dans sa gamme Surface. Le PC tablette/hybride Surface Pro a attendu sa septième génération, lancée en octobre dernier, pour bénéficier du connecteur et encore, sans Thunderbolt 3. Du côté d'Apple, ce n'est d'ailleurs pas tellement plus reluisant puisque l'iPad Pro a attendu 2018 pour embarquer un port USB-C, qui n'est pas non plus Thunderbolt 31 (USB 3.2 gen 2, jusqu'à 10 Gb/s).

Du côté de Redmond, on explique ce manque d'appétit pour le Thunderbolt 3 par des raisons de sécurité. Comme l'explique une présentation Microsoft dévoilée par @WalkingCat, le Thunderbolt peut lire et écrire directement dans la mémoire RAM de l'ordinateur sans que le système d'exploitation ou le processeur soit impliqué. Ce procédé DMA (Direct Memory Access) est effectivement bien pratique et contribue à la grande rapidité du Thunderbolt 3.

Mais voilà, si un malandrin prenait possession de l'ordinateur, il pourrait tenter de lire le contenu de la mémoire vive qui contient des données de sécurité très importantes, comme des clés de chiffrement. Il serait même en mesure d'injecter des logiciels malveillants par ce biais, explique MSPowerUser.

Pour la même raison, la RAM est soudée dans les Surface. Il s'agit d'empêcher qu'un bandit utilise de l'azote liquide pour préserver l'état de la puce non alimentée, la retirer, puis l'installer dans un lecteur de RAM externe avant de plonger ses doigts sales à l'intérieur. Mais là aussi, cette manipulation implique d'avoir l'ordinateur sous la main. Ces craintes sont fondées, mais il existe d'autres manières — certainement plus simples — de craquer un PC quand un forban a un accès physique à la machine.

D'ailleurs, Microsoft ne ferme pas à la porte à l'intégration du Thunderbolt 3 dans un proche avenir. Depuis la version 1083 de Windows 10, l'outil Kernel DMA Protection protège contre les attaques DMA à partir d'appareils connectés au PC en Thunderbolt 3. Il existe des ordinateurs sous Windows 10 qui intègrent des ports T3, mais cette nouveauté logicielle est peut-être le signe que de futures Surface embarqueront à leur tour cette technologie.


  1. Le Thunderbolt 3 sur iPad Pro, ça finira peut-être par arriver un jour surtout si Apple se pique de porter Final Cut Pro sur la plateforme. Le logiciel de montage vidéo profiterait ainsi de la vitesse de connexion à des supports de stockage externe professionnels branchés sur la tablette. ↩︎


avatar sshawn | 

Il y a un équivalent du Kernel DMA Protection sur macOS?

avatar sebasto72 | 

@sshawn

Filevault depuis son lancement (on était encore en Firewire à l’époque, mais la même problématique existait), et l’EFI s’est mis dans la partie depuis le passage au x86.

avatar sshawn | 

@sebasto72

Merci

avatar SyMich | 

FileVault consiste à chiffrer les fichiers sur le disque dur ou le SSD. Ça ne protège en rien des accès direct aux infos en RAM...

avatar sshawn | 

@SyMich

Combiné avec la T2 ils ont l’air de protéger ça

https://www.apple.com/euro/mac/shared/docs/Apple_T2_Security_Chip_Overview.pdf

avatar sebasto72 | 

@SyMich

Oui FileVault ça protège les fichiers, mais sa mise en place a nécessité de sécuriser le boot, et c’est à sa sortie que des options de protection sont apparus dans la nvram, ces protections bloquent les accès DMA (à cause du FireWire à l’époque, mais je suppose que ça a suivi l’évolution)

Donc oui, tu as raison, le but premier de FileVault n’est pas de se protéger des attaques DMA, mais sa mise en place a nécessité des travaux qui eux le font.

C’est un effet indirect quoi.

C’est en tout cas ma compréhension de ce que j’ai pu lire sur ce sujet !

avatar SyMich | 

Ah ok !

avatar Scooby-Doo | 

@sabasto72,

" Filevault depuis son lancement (on était encore en Firewire à l’époque, mais la même problématique existait), et l’EFI s’est mis dans la partie depuis le passage au x86. "

J'ai cherché sur Internet concernant Firevault et la protection de l'accès DMA.

Voici une réponse assez ancienne mais qui ne va pas dans votre sens !

" The FireWire DMA attacks were enabled in part because of a flaw in OS X that allowed DMA access when the screen was locked (ie, when a password was required to log back into the system), but Apple updated this (I believe with OS X 10.7.4, but am not sure). Beyond this, the system should only be vulnerable to DMA attacks when logged in. However, you can further protect yourself by enabling a firmware password on your system, by rebooting with Command-R held to get to the OS X tools, and then using the firmware password utility in the Utilities menu to set the password. This will lock down the hardware on your system, and in addition to preventing booting to external drives and to special boot modes (Safe Mode, Single User mode, etc.), will block DMA access. "

il faut activer le mot de passe firmware si je suis bien sa réponse lue ici :

https://discussions.apple.com/thread/5123080

avatar sebasto72 | 

J’adore l’argument de sécurité pour justifier la RAM soudée...

avatar sshawn | 

@sebasto72

L’ancienne excuse c’était pas pour la finesse ?

avatar sebasto72 | 

@sshawn

😃

Un gars a dû mal ranger ses mémos !

avatar Bounty23 | 

@sshawn

Si on ajoute finesse + performance en hausse + pas de risque de casse du mécanisme de fixation + la sécurité + gain de place dans la machine ça commence à faire beaucoup d’arguments en faveur de ma RAM soudée.

Attention je ne dis pas que c’est ce qu’il y a de mieux, mais plus le temps passe et plus la liste d’arguments pour s’allonge.

avatar sshawn | 

@Bounty23

En effet, mais Apple aurait pu innover sur ce point, quitte à avoir de la RAM avec une connection propriétaire. Je vais changer de MacBook Pro pour un 16” et le SSD qui n’est pas changeable m’a longtemps buté :(

avatar Bounty23 | 

@sshawn

Innover aurait conduit à mettre au point un système de ram propriétaire comme tu dis et ô sûrement combien onéreux... quand on voit le prix de la ram facturé sur le site à l’achat ça calme....

Je me suis pris le 16 pouces à sa sortie avec 16 Go de ram et j’en suis ravis, finalement mes logiciels n’ont pas besoin de plus. C’est vrai que ça serait cool de modifier ça et le disque mais quand on voit tous les avantages à côtés c’est bon aussi. J’ai eu des clients qui ont déjà flingués une carte mère en y branchant un disque ou de la ram défectueux à l’achat, et forcément pas remboursé par le constructeur défectueux alors ça calme... même si c’est rare on se souvient longtemps de la facture :((

avatar sshawn | 

@Bounty23

J’aurais compté sur OWC pour en faire une low-cost et de très bonne qualité que j’aurais changé des années après l’achat initial de la machine pour qu’elle puisse suivre les évolutions logicielle. Mais je reste d’accord que la RAM et d’autres composants soudé apportent beaucoup d’avantages au détriment de la réparabilité et mise à jour

avatar geo44270 | 

Donc un PC Windows est hackable en TB3 mais pas un Mac (ou Apple s’en fout et nos Mac sont aussi concernés) si j’ai bien compris?

avatar sebasto72 | 

@geo44270

Apple ne semble pas s’en laver les mains

http://blog.frizk.net/2016/12/filevault-password-retrieval.html

avatar SyMich | 

Ça n'explique pas comment Apple protège l'accès direct à la RAM, du moins je n'ai pas vu... juste que ce n'est plus possible.

avatar sebasto72 | 

@SyMich

Ça répond juste à la question « est-ce qu’Apple s’en fout ? »

avatar Scooby-Doo | 

@geo44270,

Non vous n'avez pas bien compris l'article !

" Depuis la version 1083 de Windows 10, l'outil Kernel DMA Protection protège contre les attaques DMA à partir d'appareils connectés au PC en Thunderbolt 3. "

🙄

avatar Krysten2001 | 

@Scooby-Doo

Oui mais le pc n’est pas en thunderbolt 🧐

avatar Scooby-Doo | 

@Krysten2001,

" Oui mais le pc n’est pas en thunderbolt "

Désolé mais je ne comprends pas votre affirmation...

Je possède un ordinateur portable Asus ROG G752VY depuis 3 ans sous Windows 10 et avec port USB-C et Thunderbolt 3.

J'utilise le Thunderbolt 3 au quotidien !

🙄

Voici le modèle actuel le remplaçant :

https://www.asus.com/fr/ROG-Republic-Of-Gamers/GZ755GX/Tech-Specs/

Et il y a bien de l'USB-C et du Thunderbolt 3 !

J'y ai même connecté un SSD assemblé par mes soins :

https://www.amazon.fr/gp/product/B07MFBLN7K/ref=ppx_yo_dt_b_asin_title_o01_s00?ie=UTF8&psc=1

https://www.amazon.fr/gp/product/B07NCMHG5H/ref=ppx_yo_dt_b_asin_title_o01_s00?ie=UTF8&psc=1

Cela change la vie, même si le SSD interne est déjà très rapide...

avatar Krysten2001 | 

L’article parlait des surfaces 🤔🤷‍♂️

avatar Scooby-Doo | 

@Krysten2001,

Okay désolé, du coup je comprends mieux.

Mais voilà, point de Surface chez moi !

😁

Et très heureux comme cela.

avatar Krysten2001 | 

@Scooby-Doo

Pas de soucis 😉 et tant que vous êtes heureux c’est le principal.

avatar Scooby-Doo | 

@Krysten2001,

Euh, je pense que je serai encore plus heureux si j'avais chez moi un Mac Pro gavé de mémoire et d'options et avec roulettes de luxe, un écran Apple Pro de compétition...

Mais du coup je pense que je serai malheureux question financière !!!

On peut pas tout avoir. Ou alors en Hackintosh peut-être...

Mais on a pas les roulettes de luxe en Hackintosh, cela manque de charme !

😁

avatar Krysten2001 | 

@Scooby-Doo

Moi je voudrais un MacBook Pro 16 pouces mais est-ce que j’en aurai l’utilité ?😂🤣 le prendre et le laisser sur le bureau 🤔😬🤣 en plus ce serait mettre beaucoup d’argent par la fenêtre... donc si je devais prendre un mac c’est le air :) est-ce que vous avez vraiment besoin du Mac Pro ?😂

avatar Scooby-Doo | 

@Krysten2001,

" Est-ce que vous avez vraiment besoin du Mac Pro ? "

Je crains que oui, mais comme je n'ai pas le budget je construis mes ordinateurs de bureau, pas portable car jamais essayé, trop dur à faire à mon avis.

Mais c'est vrai que le Mac Pro + tout ce qui va bien avec et Mac OS, cela fait baver et j'ai 90 To de données à traiter !!!

Ce qui me manque le plus, c'est AUTOMATOR !

Connais pas vraiment d'équivalent sur cette cochonnaillerie de Windows 10...

😥

avatar Krysten2001 | 

@Scooby-Doo

Ah ok :) personnellement c’est le design que j’adore 😊 sinon en vrai je n’en ai pas besoin ^^ et les iMac Pro ça ne vous irez pas?

avatar Crkm | 

Ah, passoireOS, que ferait-on sans toi 😀

avatar ysengrain | 

@…avant de plonger ses doigts sales à l'intérieur »
Vous voulez dire de ventouser son groin immonde ?

avatar rolmeyer | 

Et leur bitlocker il est inhackable ? Parce que pour info une Surface X et une Surface Laptop 3, un canif et hop tu enlèves le SSD..

avatar Scooby-Doo | 

@rolmeyer,

" Et leur bitlocker il est inhackable ? Parce que pour info une Surface X et une Surface Laptop 3, un canif et hop tu enlèves le SSD. "

Parce que vous connaissez quelque chose d'inhackable pour quelqu'un utilisant l'azote liquide pour s'emparer vos données ?

La plupart des services de renseignements a tout un arsenal de logiciels ou de matériels pour hacker tout ce qui passe à portée de leur main...

Croire le contraire serait faire preuve d'une grande naïveté !

Et exemples de failles du passé :

https://www.nextinpact.com/brief/safari-ios-envoie-des-donnees-de-navigation-a-tencent-en-chine-9961.htm

https://www.nextinpact.com/brief/une-faille-critique-dans-openwrt--les-utilisateurs-invites-a-mettre-a-jour-11769.htm

Ils sont tous atteints par ce problème...

😉

avatar JLG01 | 

Quand une société fait dans l’invocation, c’est peut-être spirituel, mais totalement informel.

avatar Achylle_ | 

Tout ça sent fort les excuses pour faire patienter.
Car problème de sécurité ou pas, c'est certain que le TB3 arrivera sur les ipad pro et les surface pro.

avatar fifounet | 

« Pour la même raison, la RAM est soudée dans les Surface. Il s'agit d'empêcher qu'un bandit utilise de l'azote liquide pour préserver l'état de la puce non alimentée, la retirer, puis l'installer dans un lecteur de RAM externe avant de plonger ses doigts sales à l'intérieur. « 

Ha ben voilà on comprend tout maintenant

La ram soudée chez Apple c’est pour l’obsolescence
La ram soudée chez MS c’est pour la sécurité

Il apprennent vite dis donc 🤪

avatar Scooby-Doo | 

@fifounet,

" La ram soudée chez Apple c’est pour l’obsolescence. La ram soudée chez MS c’est pour la sécurité ! "

+1

Bien vu. J'aime beaucoup le deux poids deux mesures !

😁

avatar DFrayssignes | 

Peut-être qu'Apple va nous invoquer la meme raison pour ne pas passer les MacBook Air/Pro sur Wifi 6.... Ah merde ca ne peut pas marcher comme excuse, les gadgets sous iOs y sont deja passé ! lol

avatar Dumber@Redmond | 

Quelle belle brochette de rigolos chez MS ! 😂😂😂

avatar Scooby-Doo | 

@Dumber@Redmond,

Apple & Microsoft sont sur un bateau, l'un dit à l'autre :

" Que le premier qui pense que la sécurité des données de nos clients est une priorité sautent le premier ! "

Hop, ni une ni deux, tous les deux à l'eau...

😁

Apple et "son" FireWire (IEEE) a fauté dès le début...

FireWire et T3 même combat ! Security fail by design (DMA = Direct Memory Access).

Quand on se souvient que dans NeXTstep, on pouvait lire dans la RAM tous les mots de passe en clair, y compris réseau, login, admin (SU), etc...

Grosse rigolade effectivement et pas que chez Microsoft !

Exemple :

https://www.nextinpact.com/brief/ios-13-4-5-bouchera-une-enorme-fail-dans-mail-12129.htm

Commentaire lu à ce sujet :

" C'est présent depuis ios6, qu'on essaie pas de nous faire croire que la CIA, la NSA ou Apple n'en avait aucune connaissance. C'est ptête même une commande d'une des 2 agences auprès d'Apple qui a fini dans les mains de vilains méchants. "

Tous des rigolos !

😂

avatar malcolmZ07 | 

@Scooby-Doo

Tu rames rames en tout cas

avatar Scooby-Doo | 

@malcolmZ07,

Je RAM RAM !

😉

J'attends toujours un dossier MacG concernant la sécurité et Apple, MacOS et iOS.

Se serait franchement intéressant de voir l'écart entre les discours marketing de Apple et la triste réalité.

Je pense que Microsoft fait profil bas à ce sujet et ne la ramène pas trop concernant leur lourd passif en matière de failles, de virus et chevaux de Troie en liberté absolue sur leur OS passoire !

😁

avatar Krysten2001 | 

@Scooby-Doo

« Se serait franchement intéressant de voir l'écart entre les discours marketing de Apple et la triste réalité. » tout ce que je vois c’est des appareils très secure et je n’ai pas dit sans faille comparer au reste.

avatar Krysten2001 | 

@Scooby-Doo

« C'est présent depuis ios6, qu'on essaie pas de nous faire croire que la CIA, la NSA ou Apple n'en avait aucune connaissance. C'est ptête même une commande d'une des 2 agences auprès d'Apple qui a fini dans les mains de vilains méchants. " »
Si ils avaient connaissance des failles tkt pas qu’ils les auraient bouchés depuis bien longtemps 😉

avatar Scooby-Doo | 

@Krysten2001,

Mais c'est quoi le délai moyen chez Apple pour combler une faille ?

Parce que je suis d'accord avec vous, des failles il y en aura toujours.

L'important c'est de les combler avant qu'elles ne soient exploiter, ou au plus vite.

Le temps de réaction est un facteur important de la sécurité de l'informatique, pas le niveau d'assurance donné par un discours marketing rassurant...

Je cite l'article :

" Car la faille est très sérieuse : il suffit qu’un email spécialement construit soit envoyé dans la boite de réception pour qu’elle soit activée. Sur iOS 12, l’utilisateur doit l’ouvrir, mais pas sur iOS 13, le traitement automatique étant détourné. Exploitée, la brèche permet un contrôle total du smartphone à distance.

La faille serait exploitée depuis au moins deux ans et aurait déjà fait de nombreuses victimes selon ZecOps, dont un opérateur japonais, une « grande entreprise américaine », des entreprises technologiques en Arabie Saoudite et Israël, un particulier en Allemagne et un journaliste en Europe. "

Donc question réactivité, deux ans cela fait un peu long quand même !

Ce n'est pas le délai moyen je vous l'accorde, mais cette faille est peut être le cadet des soucis d'Apple car exploitée mais très marginalement.

On connait pas le pourcentage d'utilisateurs impactés. C'est bien dommage.

avatar Krysten2001 | 

@Scooby-Doo

« La faille serait exploitée depuis au moins deux ans et aurait déjà fait de nombreuses victimes selon ZecOps, dont un opérateur japonais, une « grande entreprise américaine », des entreprises technologiques en Arabie Saoudite et Israël, un particulier en Allemagne et un journaliste en Europe. "

Donc question réactivité, deux ans cela fait un peu long quand même !

Ce n'est pas le délai moyen je vous l'accorde, mais cette faille est peut être le cadet des soucis d'Apple car exploitée mais très marginalement.

On connait pas le pourcentage d'utilisateurs impactés. C'est bien dommage. »
Comment voulez-vous qu’ils soient au courant des failles ? Ils viennent seulement de l’être 😕 en toute logique, à la prochaine MAJ

avatar Scooby-Doo | 

@Krysten2001,

Franchement, vous pensez que depuis 2 ans et les victimes suivantes :

- un opérateur japonais
- une « grande entreprise américaine »
- des entreprises technologiques en Arabie Saoudite et Israël

Vous pensez vraiment que personne depuis tout ce temps n'a pas contacté Apple pour lui indiquer le problème ?

Nous, on le sait par voie de presse qu'aujourd'hui, mais ces groupes et opérateurs ont leur propre service technique et d'investigation.

Ce serait étonnant que Apple ne soit pas au courant depuis ou alors cela veut dire que personne n'a osé contacter Apple, ce qui serait pire...

avatar Krysten2001 | 

@Scooby-Doo

Si ça leur sert, pourquoi le dire à Apple ? Les entreprises israéliennes ne vont pas le dire et pleins d’autres aussi. Si Apple était au courant, il l’aurait déjà bouché. A quoi ça leur servirait de la laisser ? Surtout qu’ils vantent la confidentialité,...

avatar Scooby-Doo | 

@Krysten2001,

" Si Apple était au courant, il l’aurait déjà bouché. A quoi ça leur servirait de la laisser ? Surtout qu’ils vantent la confidentialité "

Je n'ai pas affirmé qu'Apple avait laissé cette faille par négligence, loin de moi cette idée.

Par contre, par manque de temps, de moyens en personnel, obligation de sortir des produits, logiciels ou mises à jour plus importants à leurs yeux car attendus par les clients...

Si c'était une faille largement exploitée, je pense que la réaction d'Apple aurait été prompte.

Et comme vous, je pense que certaines compagnies n'ont pas intérêt à faire remonter ce genre de problème.

Si cela se trouve ils ont contourné la faille, ou éviter d'utiliser le matériel concerné. C'est rapide et simple à mettre en oeuvre sans ébruiter l'affaire.

Ce n'est pas toujours une bonne idée de dire au grand public que leurs données ont transité sur du matériel avec des trous !

CONNEXION UTILISATEUR