OS X a depuis peu son premier bootkit. Nommé Thunderstrike, il utilise la connexion Thunderbolt d’un Mac pour glisser un code malveillant directement dans la ROM de démarrage de la machine. De là, il peut prendre le contrôle d’un grand nombre d’actions et glisser un ou plusieurs malwares dans OS X. Les chances d’infection sont faibles, mais réelles.
Un bootkit difficile à déloger
Un bootkit est un genre de rootkit qui, comme son nom l’indique, s’inscrit dans la procédure de démarrage de la machine. Il se charge avant le système d’exploitation et peut se révéler délicat à débusquer et supprimer. Si OS X avait échappé à ce type de menace jusqu’à présent, ce n’est plus le cas depuis environ deux semaines, quand le chercheur Trammell Hudson a démontré l’efficacité de son Thunderstrike à la conférence Chaos Computer Club, le 31 décembre dernier.
Thunderstrike est donc un bootkit, dont la particularité est de s’installer à travers une connexion Thunderbolt, donc depuis un périphérique déjà infecté. Kaspersky, qui est revenu sur la menace dans un billet publié hier soir, compare le logiciel malveillant à Ébola : impossible à attraper tant que la machine n’a pas été directement en contact avec un autre appareil infecté puisque la connexion Thunderbolt est obligatoire.
Thunderstrike profite d’une faille de sécurité dans les Mac pour s’installer. Une fois en place, il se charge avant le système et peut intercepter de nombreuses informations dans OS X. Il ne pourra par exemple pas accéder à des données chiffrées avec Filevault, mais rien ne l’empêche de charger un keylogger pour enregistrer toutes les frappes au clavier. Une fois en place, difficile de l’en déloger, et seul un écrasement de l’EFI semble pour l’instant fonctionner.
L'accès physique à la machine est obligatoire
La dangerosité de la menace est cependant compensée par son vecteur d’attaque, très restreint. Ainsi, un Mac posé chez vous et ne quittant jamais le domicile n’a que très peu de chances d’être infecté. Il faudrait pour cela qu’un tiers y branche par exemple un disque dur externe Thunderbolt déjà infecté. Initialement, l’attaque pourrait se répandre si des machines étaient laissées sans surveillance. Pour Brian Donahue de Kaspersky, on peut imaginer les forces de l’ordre profitant d’un examen lors d’un passage à la sécurité d’un aéroport pour glisser un bootkit de cette manière. Un écran Apple Thunderbolt contaminé dans un espace public ou un bureau d'entreprise pourrait tout autant servir d'agent propagateur.
Lors de sa présentation d’une heure à la conférence Chaos Computer Club, Trammell Hudson a indiqué que l’information avait bien entendue été remontée à Apple et qu’un correctif était en préparation, sous la forme d'un nouveau firmware. Toujours selon le chercheur, la situation n’est cependant pas réglée pour les MacBook qui, de par leur statut de portables, sont les machines les plus susceptibles d’être infectées.
Globalement, Thunderstrike ne devrait pas provoquer d’inquiétude outre mesure. Il ne s’agit pas d’une attaque classique dans laquelle il suffirait d’ouvrir un navigateur et de se rendre sur une page spécialement conçue. L’accès physique est, encore une fois, requis. Nul besoin donc de paniquer, même s’il ne faut pas pour autant laisser trainer son MacBook n’importe où. Tout du moins tant que le correctif n’est pas déployé par Apple.
