Ouvrir le menu principal

MacGeneration

Recherche

Thunderspy : des PC fragilisés par des failles avec le Thunderbolt

Florian Innocente

lundi 11 mai 2020 à 17:16 • 30

Matériel

Le port Thunderbolt des PC et des Mac (dans une moindre mesure) peut devenir une porte d'entrée pour des hackers désireux de récupérer les données stockées dans la RAM de l'ordinateur ou accéder à des fichiers même si la machine est verrouillée.

Cette trouvaille, baptisée "Thunderspy" par le chercheur Björn Ruytenberg de l'Université de Technologie d'Eindhoven, s'appuie sur 7 failles et implique un accès physique à la machine à pirater. Mais il ne prend que quelques minutes et il ne laisse aucune trace. La machine peut très bien aussi être en veille et son écran de login verrouillé au moment de cette manipulation. Les trois versions du Thunderbolt sont concernées.

Le hacker doit ouvrir l'ordinateur de la victime et y brancher momentanément au contrôleur du port Thunderbolt un appareil relié à son propre ordinateur. A partir de celui-ci, il supprimera la protection du port Thunderbolt sur l'autre machine et en reprogrammera rapidement le firmware.

Ceci fait, Björn Ruytenberg montre qu'il peut utiliser le port Thunderbolt, désormais sans protection, avec un autre appareil qui s'occupera de charger dans la RAM un module kernel pour contourner l'écran de login de Windows. C'est l'une des particularités du Thunderbolt que d'avoir un accès direct à la mémoire vive du PC, dans le but d'augmenter la vitesse des échanges de données. L'écran de login sur le PC ainsi attaqué s'affiche correctement mais il n'est plus nécessaire d'en connaître le mot de passe pour accéder à la session utilisateur et son contenu.

Intel a mis au point, il y a un an, un système baptisé Kernel Direct Memory Access qui empêche l'exploitation de certaines des failles utilisées par Thunderspy. Il touche au BIOS des machines mais ne concerne pas celles vendues avant 2019. Il semble que sur ces générations, aucune mise à jour logicielle ne soit possible, celles-ci resteront donc fragiles face à Thunderspy.

HP a déclaré à Wired que ses PC Thunderbolt étaient tous équipés de la protection Kernel DMA depuis le début 2019, mais Lenovo et Dell sont restés dans le flou tant sur les modèles d'avant cette date que sur leurs gammes actuelles, tandis que Samsung n'a pas répondu. On peut rappeler au passage que Microsoft a encore récemment justifié son peu d'appétit pour équiper ses Surface en Thunderbolt, précisément pour des questions de sécurité vis-à-vis de cet accès direct à la RAM.

Côté systèmes d'exploitation, ceux capables d'utiliser cette protection sont macOS 10.12.4 et suivants, Windows 10 1803 RS4 et le kernel Linux 5.x. Le Mac, plus spécifiquement, n'est que « partiellement affecté » par Thunderspy, via 2 failles sur les 7 trouvées. On peut tromper l'ordinateur en lui branchant un périphérique Thunderbolt qui n'est pas celui qu'il croit être, mais il est impossible d'accéder au contenu de la RAM.

La seule option sur Mac est d'utiliser une ancienne faille d'il y a quelques années. En revanche, lorsqu'on utilise Windows ou Linux sur son Mac avec Boot Camp, le niveau de sécurité des ports Thunderbolt est ramené à zéro par l'UEFI du Mac et l'utilisation de Thunderspy devient « triviale ».

Source : Wired, Intel et The Verge

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Les MacBook Air OLED arriveraient plutôt vers 2029

08:00

• 9


Disney+ : plus que quelques jours pour profiter de l'offre à 1,99 € pendant 1 an 🆕

07:00

• 83


L’iPhone SE 4 et le nouveau Mail sur Mac en approche, pendant que Sonos pourrait être absorbée : la semaine de Gurman

19/01/2025 à 20:30

• 25


Incogni : mettez-vous sur la liste rouge d'Internet, - 50 % en ce moment ! 📍

19/01/2025 à 11:10


Non, les puces ARM ne consomment pas moins que les puces x86 par design

19/01/2025 à 10:00

• 23


Guide : les meilleures extensions Safari pour iPhone, iPad et Mac

18/01/2025 à 11:00

• 35


Promo : -220 € sur l'iMac M4 en 24/512 Go

18/01/2025 à 08:30

• 0


Sortie de veille : comment Apple va-t-elle négocier la nouvelle présidence Trump ?

18/01/2025 à 08:00

• 30


Deux sénateurs se posent des questions sur les dons à l’investiture de Trump, et demandent des réponses à Tim Cook

17/01/2025 à 22:15

• 48


Quel avenir pour les usines de processeurs sous l’ère Trump ?

17/01/2025 à 21:00

• 6


TSMC : les usines américaines ne fabriqueront pas les puces les plus avancées

17/01/2025 à 18:30

• 14


Deezer a été optimisé pour les Mac Apple Silicon

17/01/2025 à 17:30

• 20


DSA : Google ne veut pas de fact-checking dans Search ou sur YouTube

17/01/2025 à 16:00

• 131


Soldes : promo générale à la Fnac sur de gros MacBook Pro M3 Pro

17/01/2025 à 14:15

• 18


Trade In Apple Store : quels tarifs de reprise pour les anciens iPhone, iPad, Mac…

17/01/2025 à 12:30

• 17


Les cœurs E des puces M4 plus rapides que ceux des puces M4 Pro

17/01/2025 à 12:15

• 8