Thunderspy : des PC fragilisés par des failles avec le Thunderbolt

Florian Innocente |

Le port Thunderbolt des PC et des Mac (dans une moindre mesure) peut devenir une porte d'entrée pour des hackers désireux de récupérer les données stockées dans la RAM de l'ordinateur ou accéder à des fichiers même si la machine est verrouillée.

Cette trouvaille, baptisée "Thunderspy" par le chercheur Björn Ruytenberg de l'Université de Technologie d'Eindhoven, s'appuie sur 7 failles et implique un accès physique à la machine à pirater. Mais il ne prend que quelques minutes et il ne laisse aucune trace. La machine peut très bien aussi être en veille et son écran de login verrouillé au moment de cette manipulation. Les trois versions du Thunderbolt sont concernées.

Le hacker doit ouvrir l'ordinateur de la victime et y brancher momentanément au contrôleur du port Thunderbolt un appareil relié à son propre ordinateur. A partir de celui-ci, il supprimera la protection du port Thunderbolt sur l'autre machine et en reprogrammera rapidement le firmware.

Ceci fait, Björn Ruytenberg montre qu'il peut utiliser le port Thunderbolt, désormais sans protection, avec un autre appareil qui s'occupera de charger dans la RAM un module kernel pour contourner l'écran de login de Windows. C'est l'une des particularités du Thunderbolt que d'avoir un accès direct à la mémoire vive du PC, dans le but d'augmenter la vitesse des échanges de données. L'écran de login sur le PC ainsi attaqué s'affiche correctement mais il n'est plus nécessaire d'en connaître le mot de passe pour accéder à la session utilisateur et son contenu.

Intel a mis au point, il y a un an, un système baptisé Kernel Direct Memory Access qui empêche l'exploitation de certaines des failles utilisées par Thunderspy. Il touche au BIOS des machines mais ne concerne pas celles vendues avant 2019. Il semble que sur ces générations, aucune mise à jour logicielle ne soit possible, celles-ci resteront donc fragiles face à Thunderspy.

HP a déclaré à Wired que ses PC Thunderbolt étaient tous équipés de la protection Kernel DMA depuis le début 2019, mais Lenovo et Dell sont restés dans le flou tant sur les modèles d'avant cette date que sur leurs gammes actuelles, tandis que Samsung n'a pas répondu. On peut rappeler au passage que Microsoft a encore récemment justifié son peu d'appétit pour équiper ses Surface en Thunderbolt, précisément pour des questions de sécurité vis-à-vis de cet accès direct à la RAM.

Côté systèmes d'exploitation, ceux capables d'utiliser cette protection sont macOS 10.12.4 et suivants, Windows 10 1803 RS4 et le kernel Linux 5.x. Le Mac, plus spécifiquement, n'est que « partiellement affecté » par Thunderspy, via 2 failles sur les 7 trouvées. On peut tromper l'ordinateur en lui branchant un périphérique Thunderbolt qui n'est pas celui qu'il croit être, mais il est impossible d'accéder au contenu de la RAM.

La seule option sur Mac est d'utiliser une ancienne faille d'il y a quelques années. En revanche, lorsqu'on utilise Windows ou Linux sur son Mac avec Boot Camp, le niveau de sécurité des ports Thunderbolt est ramené à zéro par l'UEFI du Mac et l'utilisation de Thunderspy devient « triviale ».


avatar totoguile | 

C'est marrant ce weekend je lisais une news qui disait que MS n'avait pas voulu du thunderbolt sur ses Surface parcequ'il donnait un accès à la mémoire. C'est du pain béni pour MS cette faille !

avatar asheden | 

@totoguile

Le problème c’est pas le Thunderbolt car il n’y a aucun problème sur les mac.

avatar enka | 

@asheden

Si justement. La différence c'est qu'Apple bloque certaines de ces failles via macOS. C'est pourquoi les failles sont de nouveau la si on démarre le mac sur windows

avatar Gwynpl@ine | 

@enka
Sur 7 failles, seulement 2 sont partiellement exploitables, et elles ne fonctionnent pas totalement. Bref, rien de grave vous pouvez dormir tranquille.

avatar Hideyasu | 

@enka

Oui faut acheter un Mac et mettre W10 dessus quoi .. ça doit pas représenter beaucoup de monde.
Ceci dis, ce sont des failles qui restent dommageables

avatar CorbeilleNews | 

« Doit ouvrir l’ordinateur »

Pourquoi faire ?

Qu’apporte un accès à la carte mère sur un PC fixe que n’apporte pas un port extérieur ?

avatar xDave | 

@CorbeilleNews

J’imagine que l’auteur parle d’un ordinateur portable et ouvre le capot pour le sortir de veille.
« Ouvrir » le login screen ?

avatar JLG01 | 

Il faut donc détourner matériellement l’appareil pour voler les données.
Ce genre de démonstration tourne vraiment au ridicule.

avatar Gwynpl@ine | 

@JLG01

En gros il te faut Jack Bauer, il te fait cracher le mot de passe, et l'affaire est réglée :-D

avatar Inconnu-Soldat | 

Tiens vous savez que pour voler un téléviseur chez vous le cambrioleur est obligé de rentrer. Surprenant non ?

avatar occam | 

Il convient de revoir la présentation d’Ivan Krstić, chef de Security Engineering and Architecture chez Apple, donnée au Black Hat 2019.

La partie qui nous intéresse commence vers 3:00.
https://m.youtube.com/watch?v=3byNNUReyvE

Krstić y détaille le travail d’Apple pour adapter le mécanisme VT-d développé par Intel pour sécuriser BIOS et DMA au démarrage. Apple a intégré VT-d à l’initialisation de l’UEFI pour prévenir les intrusions via Thunderbolt pendant le démarrage. Mais comme cette protection est liée au démarrage sous macOS, la machine est démunie en mode BootCamp.

avatar Krysten2001 | 

@occam

Donc le Mac est protégé alors ? Et la puce T2 là-dedans ?

avatar r e m y | 

@Krysten2001

Le Mac n'est pas protégé si il est démarré sur Windows, ou si l'attaquant peut lancer le démarrage sur Windows.

avatar Krysten2001 | 

@r e m y

Oh ça va alors vu qu’il y a la puce T2

avatar r e m y | 

@Krysten2001

La proportion de Mac équipés de puce T2, sur le nombre de Mac en circulation est encore très faible et de plus, même avec puce T2, le Mac n'est pas nécessairement paramétré pour interdire le démarrage sur Windows. (Il suffit de lancer le démarrage sur Windows à l'allumage)
Et pour peu de tomber sur un Mac allumé tournant sur Windows, laissé en veille protégé par mot de passe, l'accès par le port thunderbolt n'est alors pas du tout protégé.

avatar Krysten2001 | 

@r e m y

Quand je vois les millions de ventes et qu’elle est la depuis 4 ans ?🤔 la puce T2 bloque les connections externes mais après on peut augmenter la sécurité il me semble.

avatar r e m y | 

@Krysten2001

On parle d'un ordinateur allumé ... quand votre Mac est allumé, je ne pense pas que la puce T2 bloque le port thunderbolt! (Autant supprimer le port thunderbolt sinon)

avatar Krysten2001 | 

@r e m y

« une moindre mesure) peut devenir une porte d'entrée pour des hackers désireux de récupérer les données stockées dans la RAM de l'ordinateur ou accéder à des fichiers même si la machine est verrouillée. » on parle bien d’une machine verrouillé 🔒

avatar r e m y | 

@Krysten2001

Verrouillée mais allumée! (En veille verrrouillee, ou sur l'écran d'ouverture de session ...)
Si la machine est éteinte, il n'y a rien à récupérer en RAM.

avatar Krysten2001 | 

@r e m y

Je parlais de verrouillé et non éteinte 😉 donc la puce T2 est actif.

avatar r e m y | 

@Krysten2001

Je vérifierai, mais il me semble que la puce T2 n'est activée qu'à l'allumage du Mac et permet éventuellement d'interdire de booter sur un disque externe. Mais une fois le Mac allumé, la puce T2 n'intervient plus, en tous cas je ne vois aucune option pour empêcher le port thunderbolt d'être actif pendant qu'on utilise le Mac et de bloquer les périphériques qui y sont branchés.

avatar Krysten2001 | 

@r e m y

Tant que le Mac n’est pas déverrouiller ça ne passe pas logique et quand c’est déverrouiller logiquement elle n’intervient plus

avatar r e m y | 

@Krysten2001

Non verrouillé ou déverrouillé , une fois le Mac allumé, la puce T2 n'intervient plus.
Elle ne contrôle que le démarrage sécurisé et le chiffrage du SSD
https://support.apple.com/fr-fr/HT208862
https://support.apple.com/fr-fr/HT208330

Et concernant le port thunderbolt elle ne peut que bloquer le démarrage sur un disque externe (si la sécurité est laissée au niveau maximum interdisant de démarrer sur des disques externes), elle ne bloque aucun autre périphérique thunderbolt.

avatar Krysten2001 | 

@r e m y

Il faut bien le MDP pour déchiffre le disque. Au démarrage la puce T2 vérifie tout mais tant qu’il n’est pas déverrouiller, aucune chance de brancher un disque et impossible de récupérer la ram aussi « On peut tromper l'ordinateur en lui branchant un périphérique Thunderbolt qui n'est pas celui qu'il croit être, mais il est impossible d'accéder au contenu de la RAM. » en gros la puce T2 protège tout et il y a aussi d’autres contrôleurs « Les ports Thunderbolt 3 et Ethernet 10 GbE, l’affichage, ou encore le logement pour carte SD sont gérés par des puces dédiées. »

avatar r e m y | 

@Krysten2001

Pardon je n'avais pas compris que vous attendiez une réponse et une seule... oubliez tout ce que j'ai écrit plus haut.

Le chercheur Björn Ruytenberg de l'Université de Technologie d'Eindhoven est probablement un blaireau quand il explique qu'un Mac démarré sur BootCamp voit le niveau de sécurité des ports thunderbolt ramené à zéro et que l'utilisation de thunderspy devient triviale.

avatar Krysten2001 | 

@r e m y

Je n’ai pas dit ça. J’ai dit que sur macOS ce n’est pas possible mais si on met Windows oui.

avatar r e m y | 

@Krysten2001

Votre question initiale était "donc le Mac est protégé?", ce à quoi j'ai répondu (ma toute première réponse):

Le Mac n'est pas protégé si il est démarré sur Windows, ou si l'attaquant peut lancer le démarrage sur Windows.

Ensuite vous n'avez jamais parlé spécifiquement de macOS mais du Mac dont la puce T2 protégerait de tout...

avatar Krysten2001 | 

@r e m y

« Le Mac n'est pas protégé si il est démarré sur Windows » sauf que quand on achète un Mac c’est pour macOS mais disons qu’il y a moyen. Au démarrage on doit choisir le système donc 🤷‍♂️

« Ensuite vous n'avez jamais parlé spécifiquement de macOS mais du Mac dont la puce T2 protégerait de tout... » ben quand on parle de Mac, macOS vient direct logique

avatar r e m y | 

@Krysten2001

On parle spécifiquement de Mac sur lequel Windows est installé via BootCamp ce qui les met sans protection face à Thunderspy.
C'est le seul sujet! Tout le reste n'est que digression

avatar Krysten2001 | 

@r e m y

Si on met Windows mais si on ne le met pas c’est bon. D’autant plus qu’au démarrage du Mac, il demande sur lequel on veut aller

CONNEXION UTILISATEUR