OS X a depuis peu son premier bootkit. Nommé Thunderstrike, il utilise la connexion Thunderbolt d’un Mac pour glisser un code malveillant directement dans la ROM de démarrage de la machine. De là, il peut prendre le contrôle d’un grand nombre d’actions et glisser un ou plusieurs malwares dans OS X. Les chances d’infection sont faibles, mais réelles.
Un bootkit difficile à déloger
Un bootkit est un genre de rootkit qui, comme son nom l’indique, s’inscrit dans la procédure de démarrage de la machine. Il se charge avant le système d’exploitation et peut se révéler délicat à débusquer et supprimer. Si OS X avait échappé à ce type de menace jusqu’à présent, ce n’est plus le cas depuis environ deux semaines, quand le chercheur Trammell Hudson a démontré l’efficacité de son Thunderstrike à la conférence Chaos Computer Club, le 31 décembre dernier.
Thunderstrike est donc un bootkit, dont la particularité est de s’installer à travers une connexion Thunderbolt, donc depuis un périphérique déjà infecté. Kaspersky, qui est revenu sur la menace dans un billet publié hier soir, compare le logiciel malveillant à Ébola : impossible à attraper tant que la machine n’a pas été directement en contact avec un autre appareil infecté puisque la connexion Thunderbolt est obligatoire.
Thunderstrike profite d’une faille de sécurité dans les Mac pour s’installer. Une fois en place, il se charge avant le système et peut intercepter de nombreuses informations dans OS X. Il ne pourra par exemple pas accéder à des données chiffrées avec Filevault, mais rien ne l’empêche de charger un keylogger pour enregistrer toutes les frappes au clavier. Une fois en place, difficile de l’en déloger, et seul un écrasement de l’EFI semble pour l’instant fonctionner.
L'accès physique à la machine est obligatoire
La dangerosité de la menace est cependant compensée par son vecteur d’attaque, très restreint. Ainsi, un Mac posé chez vous et ne quittant jamais le domicile n’a que très peu de chances d’être infecté. Il faudrait pour cela qu’un tiers y branche par exemple un disque dur externe Thunderbolt déjà infecté. Initialement, l’attaque pourrait se répandre si des machines étaient laissées sans surveillance. Pour Brian Donahue de Kaspersky, on peut imaginer les forces de l’ordre profitant d’un examen lors d’un passage à la sécurité d’un aéroport pour glisser un bootkit de cette manière. Un écran Apple Thunderbolt contaminé dans un espace public ou un bureau d'entreprise pourrait tout autant servir d'agent propagateur.
Lors de sa présentation d’une heure à la conférence Chaos Computer Club, Trammell Hudson a indiqué que l’information avait bien entendue été remontée à Apple et qu’un correctif était en préparation, sous la forme d'un nouveau firmware. Toujours selon le chercheur, la situation n’est cependant pas réglée pour les MacBook qui, de par leur statut de portables, sont les machines les plus susceptibles d’être infectées.
Globalement, Thunderstrike ne devrait pas provoquer d’inquiétude outre mesure. Il ne s’agit pas d’une attaque classique dans laquelle il suffirait d’ouvrir un navigateur et de se rendre sur une page spécialement conçue. L’accès physique est, encore une fois, requis. Nul besoin donc de paniquer, même s’il ne faut pas pour autant laisser trainer son MacBook n’importe où. Tout du moins tant que le correctif n’est pas déployé par Apple.
Commentaires (28)
#1
Hmm donc avec un vidéoprojecteur dans une salle de réunion ça pourrait donner des résultats.
Enfin, s’il existe des vidéoprojecteurs avec cette connectique (?)
#2
Cela reste une faille difficile à exploiter si il est nécessaire d’avoir un contact direct avec un périphérique thunderbolt contaminé.
" />
A moins que le matériel soit contaminé à la fabrication…
Par contre la partie injection par les forces de l’ordre ^^’
Ou comment véroler une machine pour une raison qui pourrait être détournée par des tiers
#3
Avec un accès physique, les chances d’infection ne sont pas faibles mais proches de zéro.
Pas la peine de faire dans le sensationnel
#4
Ils savent plus quoi faire pour faire des news.
#5
#6
#7
La news est sensationnel ?
Pour moi c’est de l’information… sinon on serait au courant de rien.
#8
On a deja vu du hardware infecté sortir des usines. Pourquoi pas des periphériques thunderbolt ?
En entreprise je crains la portée d’un truc du genre.
Faut voir comment mes utilisateurs ne se méfient pas en général et encore moins ceux qui utilisent des appareils Apple (“j’ai rien à craindre j’ai un Mac”).
#9
#10
#11
Thunderstrike, le bootkit pour OS X qui exploite la connexion Thunderbolt
On ne peut pas faire titre plus descriptif et moins sensationnel que ça.
#12
#13
Après ça vient d’un Fan du seul gars au monde capable de dire qu’il est à la bourre a causes des embouteillage qui résultent de l’immigration 
" />
#14
En tout cas, ça y est, on a enfin trouvé une utilité au Thunderbolt.
" />
Trop tard, je suis déjà parti –> []
#15
Les connecteurs TB sont monnaie courante, mais les périphériques sont des accessoires onéreux. Ca sera limité en terme d’exploitation
#16
Ca n’a rien de sensationnel ! La news est clairement informelle.
Aucun gros titre à l’horizon pour que ça y est, Mac est troué, vous pouvez le jeter ;)
Regarde Numérama ou d’autres…
#17
#18
titre Numérama = tempête dans un verre d’eau
#19
#20
Je suis d’accord. Heureusement que PCI a gardé la tête froide et parlé des évolutions de la loi.
Je pense que ceux qui parlent de tempête dans un verre d’eau sous-estiment le parc Apple/Thunderbolt.
#21
En somme je dirais : “c’est bien fait !”.
Le revers de la médaille du “Secure Boot” qu’on essaye de nous imposer pour enfermer les utilisateurs est que ce type de bootkit est extrêmement difficile à déloger, puisque en l’occurrence ça sécurise… le bootkit !
Une preuve de plus que ce bazar est une bien mauvaise idée.
#22
Euh… Aucun rapport avec le secure boot là : il s’agit de rajouter du code dans l’UEFI, en utilisant les possibilités offertes par le bus PCI.
Après, oui, c’est détourné, et ça permet de remplacer du code existant, là est la faille : rien à voir avec le secure boot ; la dangerosité est directement liée à la sortie du bus PCI, qui autorise l’écriture directe en mémoire, potentiellement sans vérification de l’adresse à laquelle un périphérique PCI écrit.
Si vous avez peur lorsque vous connectez un ordi portable à un écran externe, utilisez votre sortie HDMI, ou l’adaptateur miniDP –> VGA/HDMI que vous avez toujours sur vous ;-)
#23
J’aime beaucoup la news qui dit «il ne faut pas pour autant laisser
trainer son MacBook n’importe où».
Il me semble que celui qui laisse trainer son MacBook risque plutôt de ne pas le retrouver.
#24
#25
#26
Si si ça a totalement rapport avec SecureBoot, même si ça s’appelle pas comme ça sur Mac, le principe est le même.
" />
En l’occurrence (si j’en crois ce que j’ai lu) ce qui rend difficile l’éradication du bootkit, c’est qu’il s’installe ET il change la clé de vérification du boot. Donc l’UEFI croit que ce qui est lancé au tout début est légitime, puisqu’il peut vérifier que la signature du bootloader correspond bien à la clé qu’il possède.
Exactement à 100% le mécanisme “Secure Boot”… l’arroseur arrosé !
#27
Je ne suis pas d’accord sur ce point lié à Secure Boot : avec ou sans vérification du firmware, donc SecureBoot, la faille fonctionne.
Pouvoir remplacer la clef de vérification de SecureBoot est en effet une faille, mais elle n’est pas à l’origine du problème, comme un virus qui modifierait les fichiers des antivirus : le soft pense que c’est valide, mais avec ou sans antivirus, le système est infecté.
#28
Tout à fait, avec ou sans le système est infecté.
" />
Mais ce qui rend précisément la faille difficile à éradiquer, c’est que la “clé de confiance” a aussi été changée, d’où le lien avec Secure Boot. Ce qui prouve, si besoin en était, que ça ne sécurise rien du tout… puisque désormais on a des bootkits qui savent très bien aussi changer la clé !..