Thunderspy : des PC fragilisés par des failles avec le Thunderbolt
Le port Thunderbolt des PC et des Mac (dans une moindre mesure) peut devenir une porte d'entrée pour des hackers désireux de récupérer les données stockées dans la RAM de l'ordinateur ou accéder à des fichiers même si la machine est verrouillée.
Cette trouvaille, baptisée "Thunderspy" par le chercheur Björn Ruytenberg de l'Université de Technologie d'Eindhoven, s'appuie sur 7 failles et implique un accès physique à la machine à pirater. Mais il ne prend que quelques minutes et il ne laisse aucune trace. La machine peut très bien aussi être en veille et son écran de login verrouillé au moment de cette manipulation. Les trois versions du Thunderbolt sont concernées.
Le hacker doit ouvrir l'ordinateur de la victime et y brancher momentanément au contrôleur du port Thunderbolt un appareil relié à son propre ordinateur. A partir de celui-ci, il supprimera la protection du port Thunderbolt sur l'autre machine et en reprogrammera rapidement le firmware.
Ceci fait, Björn Ruytenberg montre qu'il peut utiliser le port Thunderbolt, désormais sans protection, avec un autre appareil qui s'occupera de charger dans la RAM un module kernel pour contourner l'écran de login de Windows. C'est l'une des particularités du Thunderbolt que d'avoir un accès direct à la mémoire vive du PC, dans le but d'augmenter la vitesse des échanges de données. L'écran de login sur le PC ainsi attaqué s'affiche correctement mais il n'est plus nécessaire d'en connaître le mot de passe pour accéder à la session utilisateur et son contenu.
Intel a mis au point, il y a un an, un système baptisé Kernel Direct Memory Access qui empêche l'exploitation de certaines des failles utilisées par Thunderspy. Il touche au BIOS des machines mais ne concerne pas celles vendues avant 2019. Il semble que sur ces générations, aucune mise à jour logicielle ne soit possible, celles-ci resteront donc fragiles face à Thunderspy.
HP a déclaré à Wired que ses PC Thunderbolt étaient tous équipés de la protection Kernel DMA depuis le début 2019, mais Lenovo et Dell sont restés dans le flou tant sur les modèles d'avant cette date que sur leurs gammes actuelles, tandis que Samsung n'a pas répondu. On peut rappeler au passage que Microsoft a encore récemment justifié son peu d'appétit pour équiper ses Surface en Thunderbolt, précisément pour des questions de sécurité vis-à-vis de cet accès direct à la RAM.
Côté systèmes d'exploitation, ceux capables d'utiliser cette protection sont macOS 10.12.4 et suivants, Windows 10 1803 RS4 et le kernel Linux 5.x. Le Mac, plus spécifiquement, n'est que « partiellement affecté » par Thunderspy, via 2 failles sur les 7 trouvées. On peut tromper l'ordinateur en lui branchant un périphérique Thunderbolt qui n'est pas celui qu'il croit être, mais il est impossible d'accéder au contenu de la RAM.
La seule option sur Mac est d'utiliser une ancienne faille d'il y a quelques années. En revanche, lorsqu'on utilise Windows ou Linux sur son Mac avec Boot Camp, le niveau de sécurité des ports Thunderbolt est ramené à zéro par l'UEFI du Mac et l'utilisation de Thunderspy devient « triviale ».
C'est marrant ce weekend je lisais une news qui disait que MS n'avait pas voulu du thunderbolt sur ses Surface parcequ'il donnait un accès à la mémoire. C'est du pain béni pour MS cette faille !
@totoguile
Le problème c’est pas le Thunderbolt car il n’y a aucun problème sur les mac.
@asheden
Si justement. La différence c'est qu'Apple bloque certaines de ces failles via macOS. C'est pourquoi les failles sont de nouveau la si on démarre le mac sur windows
@enka
Sur 7 failles, seulement 2 sont partiellement exploitables, et elles ne fonctionnent pas totalement. Bref, rien de grave vous pouvez dormir tranquille.
@enka
Oui faut acheter un Mac et mettre W10 dessus quoi .. ça doit pas représenter beaucoup de monde.
Ceci dis, ce sont des failles qui restent dommageables
« Doit ouvrir l’ordinateur »
Pourquoi faire ?
Qu’apporte un accès à la carte mère sur un PC fixe que n’apporte pas un port extérieur ?
@CorbeilleNews
J’imagine que l’auteur parle d’un ordinateur portable et ouvre le capot pour le sortir de veille.
« Ouvrir » le login screen ?
Il faut donc détourner matériellement l’appareil pour voler les données.
Ce genre de démonstration tourne vraiment au ridicule.
@JLG01
En gros il te faut Jack Bauer, il te fait cracher le mot de passe, et l'affaire est réglée :-D
Tiens vous savez que pour voler un téléviseur chez vous le cambrioleur est obligé de rentrer. Surprenant non ?
Il convient de revoir la présentation d’Ivan Krstić, chef de Security Engineering and Architecture chez Apple, donnée au Black Hat 2019.
La partie qui nous intéresse commence vers 3:00.
https://m.youtube.com/watch?v=3byNNUReyvE
Krstić y détaille le travail d’Apple pour adapter le mécanisme VT-d développé par Intel pour sécuriser BIOS et DMA au démarrage. Apple a intégré VT-d à l’initialisation de l’UEFI pour prévenir les intrusions via Thunderbolt pendant le démarrage. Mais comme cette protection est liée au démarrage sous macOS, la machine est démunie en mode BootCamp.
@occam
Donc le Mac est protégé alors ? Et la puce T2 là-dedans ?
@Krysten2001
Le Mac n'est pas protégé si il est démarré sur Windows, ou si l'attaquant peut lancer le démarrage sur Windows.
@r e m y
Oh ça va alors vu qu’il y a la puce T2
@Krysten2001
La proportion de Mac équipés de puce T2, sur le nombre de Mac en circulation est encore très faible et de plus, même avec puce T2, le Mac n'est pas nécessairement paramétré pour interdire le démarrage sur Windows. (Il suffit de lancer le démarrage sur Windows à l'allumage)
Et pour peu de tomber sur un Mac allumé tournant sur Windows, laissé en veille protégé par mot de passe, l'accès par le port thunderbolt n'est alors pas du tout protégé.
@r e m y
Quand je vois les millions de ventes et qu’elle est la depuis 4 ans ?🤔 la puce T2 bloque les connections externes mais après on peut augmenter la sécurité il me semble.
@Krysten2001
On parle d'un ordinateur allumé ... quand votre Mac est allumé, je ne pense pas que la puce T2 bloque le port thunderbolt! (Autant supprimer le port thunderbolt sinon)
@r e m y
« une moindre mesure) peut devenir une porte d'entrée pour des hackers désireux de récupérer les données stockées dans la RAM de l'ordinateur ou accéder à des fichiers même si la machine est verrouillée. » on parle bien d’une machine verrouillé 🔒
@Krysten2001
Verrouillée mais allumée! (En veille verrrouillee, ou sur l'écran d'ouverture de session ...)
Si la machine est éteinte, il n'y a rien à récupérer en RAM.
@r e m y
Je parlais de verrouillé et non éteinte 😉 donc la puce T2 est actif.
@Krysten2001
Je vérifierai, mais il me semble que la puce T2 n'est activée qu'à l'allumage du Mac et permet éventuellement d'interdire de booter sur un disque externe. Mais une fois le Mac allumé, la puce T2 n'intervient plus, en tous cas je ne vois aucune option pour empêcher le port thunderbolt d'être actif pendant qu'on utilise le Mac et de bloquer les périphériques qui y sont branchés.
@r e m y
Tant que le Mac n’est pas déverrouiller ça ne passe pas logique et quand c’est déverrouiller logiquement elle n’intervient plus
@Krysten2001
Non verrouillé ou déverrouillé , une fois le Mac allumé, la puce T2 n'intervient plus.
Elle ne contrôle que le démarrage sécurisé et le chiffrage du SSD
https://support.apple.com/fr-fr/HT208862
https://support.apple.com/fr-fr/HT208330
Et concernant le port thunderbolt elle ne peut que bloquer le démarrage sur un disque externe (si la sécurité est laissée au niveau maximum interdisant de démarrer sur des disques externes), elle ne bloque aucun autre périphérique thunderbolt.
@r e m y
Il faut bien le MDP pour déchiffre le disque. Au démarrage la puce T2 vérifie tout mais tant qu’il n’est pas déverrouiller, aucune chance de brancher un disque et impossible de récupérer la ram aussi « On peut tromper l'ordinateur en lui branchant un périphérique Thunderbolt qui n'est pas celui qu'il croit être, mais il est impossible d'accéder au contenu de la RAM. » en gros la puce T2 protège tout et il y a aussi d’autres contrôleurs « Les ports Thunderbolt 3 et Ethernet 10 GbE, l’affichage, ou encore le logement pour carte SD sont gérés par des puces dédiées. »
@Krysten2001
Pardon je n'avais pas compris que vous attendiez une réponse et une seule... oubliez tout ce que j'ai écrit plus haut.
Le chercheur Björn Ruytenberg de l'Université de Technologie d'Eindhoven est probablement un blaireau quand il explique qu'un Mac démarré sur BootCamp voit le niveau de sécurité des ports thunderbolt ramené à zéro et que l'utilisation de thunderspy devient triviale.
@r e m y
Je n’ai pas dit ça. J’ai dit que sur macOS ce n’est pas possible mais si on met Windows oui.
@Krysten2001
Votre question initiale était "donc le Mac est protégé?", ce à quoi j'ai répondu (ma toute première réponse):
Le Mac n'est pas protégé si il est démarré sur Windows, ou si l'attaquant peut lancer le démarrage sur Windows.
Ensuite vous n'avez jamais parlé spécifiquement de macOS mais du Mac dont la puce T2 protégerait de tout...
@r e m y
« Le Mac n'est pas protégé si il est démarré sur Windows » sauf que quand on achète un Mac c’est pour macOS mais disons qu’il y a moyen. Au démarrage on doit choisir le système donc 🤷♂️
« Ensuite vous n'avez jamais parlé spécifiquement de macOS mais du Mac dont la puce T2 protégerait de tout... » ben quand on parle de Mac, macOS vient direct logique
@Krysten2001
On parle spécifiquement de Mac sur lequel Windows est installé via BootCamp ce qui les met sans protection face à Thunderspy.
C'est le seul sujet! Tout le reste n'est que digression
@r e m y
Si on met Windows mais si on ne le met pas c’est bon. D’autant plus qu’au démarrage du Mac, il demande sur lequel on veut aller