Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Thunderstrike, le bootkit pour OS X qui exploite la connexion Thunderbolt

Broke all the rules, played all the fools
Logiciel 3 min
Thunderstrike, le bootkit pour OS X qui exploite la connexion Thunderbolt

OS X a depuis peu son premier bootkit. Nommé Thunderstrike, il utilise la connexion Thunderbolt d’un Mac pour glisser un code malveillant directement dans la ROM de démarrage de la machine. De là, il peut prendre le contrôle d’un grand nombre d’actions et glisser un ou plusieurs malwares dans OS X. Les chances d’infection sont faibles, mais réelles.

Un bootkit difficile à déloger

Un bootkit est un genre de rootkit qui, comme son nom l’indique, s’inscrit dans la procédure de démarrage de la machine. Il se charge avant le système d’exploitation et peut se révéler délicat à débusquer et supprimer. Si OS X avait échappé à ce type de menace jusqu’à présent, ce n’est plus le cas depuis environ deux semaines, quand le chercheur Trammell Hudson a démontré l’efficacité de son Thunderstrike à la conférence Chaos Computer Club, le 31 décembre dernier.

Thunderstrike est donc un bootkit, dont la particularité est de s’installer à travers une connexion Thunderbolt, donc depuis un périphérique déjà infecté. Kaspersky, qui est revenu sur la menace dans un billet publié hier soir, compare le logiciel malveillant à Ébola : impossible à attraper tant que la machine n’a pas été directement en contact avec un autre appareil infecté puisque la connexion Thunderbolt est obligatoire.

Thunderstrike profite d’une faille de sécurité dans les Mac pour s’installer. Une fois en place, il se charge avant le système et peut intercepter de nombreuses informations dans OS X. Il ne pourra par exemple pas accéder à des données chiffrées avec Filevault, mais rien ne l’empêche de charger un keylogger pour enregistrer toutes les frappes au clavier. Une fois en place, difficile de l’en déloger, et seul un écrasement de l’EFI semble pour l’instant fonctionner.

thunderstrike

L'accès physique à la machine est obligatoire

La dangerosité de la menace est cependant compensée par son vecteur d’attaque, très restreint. Ainsi, un Mac posé chez vous et ne quittant jamais le domicile n’a que très peu de chances d’être infecté. Il faudrait pour cela qu’un tiers y branche par exemple un disque dur externe Thunderbolt déjà infecté. Initialement, l’attaque pourrait se répandre si des machines étaient laissées sans surveillance. Pour Brian Donahue de Kaspersky, on peut imaginer les forces de l’ordre profitant d’un examen lors d’un passage à la sécurité d’un aéroport pour glisser un bootkit de cette manière. Un écran Apple Thunderbolt contaminé dans un espace public ou un bureau d'entreprise pourrait tout autant servir d'agent propagateur.

Lors de sa présentation d’une heure à la conférence Chaos Computer Club, Trammell Hudson a indiqué que l’information avait bien entendue été remontée à Apple et qu’un correctif était en préparation, sous la forme d'un nouveau firmware. Toujours selon le chercheur, la situation n’est cependant pas réglée pour les MacBook qui, de par leur statut de portables, sont les machines les plus susceptibles d’être infectées.

Globalement, Thunderstrike ne devrait pas provoquer d’inquiétude outre mesure. Il ne s’agit pas d’une attaque classique dans laquelle il suffirait d’ouvrir un navigateur et de se rendre sur une page spécialement conçue. L’accès physique est, encore une fois, requis. Nul besoin donc de paniquer, même s’il ne faut pas pour autant laisser trainer son MacBook n’importe où. Tout du moins tant que le correctif n’est pas déployé par Apple.

28 commentaires
Avatar de Constance INpactien
Avatar de ConstanceConstance- 17/01/15 à 08:50:28

Hmm donc avec un vidéoprojecteur dans une salle de réunion ça pourrait donner des résultats.
Enfin, s'il existe des vidéoprojecteurs avec cette connectique (?)

Édité par Constance le 17/01/2015 à 08:50
Avatar de anonyme_bdc0e90c25885d797d2fef7ed258deaa INpactien

Cela reste une faille difficile à exploiter si il est nécessaire d'avoir un contact direct avec un périphérique thunderbolt contaminé.
A moins que le matériel soit contaminé  à la fabrication...

Par contre la partie injection par les forces de l'ordre ^^'
Ou comment véroler une machine pour une raison qui pourrait être détournée par des tiers :cartonrouge:

Édité par x689thanatos le 17/01/2015 à 09:28
Avatar de anonyme_95bde7ad91b4483068f10094cf1c28ca INpactien

Avec un accès physique, les chances d'infection ne sont pas faibles mais proches de zéro.
Pas la peine de faire dans le sensationnel

Avatar de Danytime INpactien
Avatar de DanytimeDanytime- 17/01/15 à 10:16:00

Ils savent plus quoi faire pour faire des news.

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 17/01/15 à 10:34:08

boglob a écrit :

Avec un accès physique, les chances d'infection ne sont pas faibles mais proches de zéro.
Pas la peine de faire dans le sensationnel

Il y a eu plus d'articles sur la version USB de ces bestioles.

Édité par psn00ps le 17/01/2015 à 10:34
Avatar de misterB Abonné
Avatar de misterBmisterB- 17/01/15 à 10:53:30

Danytime a écrit :

Ils savent plus quoi faire pour faire des news.

C'est bien d'informer sur l'existence de ce procédé, et l'article est loin d'être alarmiste. 

C'est vrai c'est pas bien de dire qu'il y a des faille dans le sytème Apple :cartonrouge:

Avatar de Myze Abonné
Avatar de MyzeMyze- 17/01/15 à 11:21:09

La news est sensationnel ?
Pour moi c'est de l'information... sinon on serait au courant de rien.

Avatar de Oliewan Abonné
Avatar de OliewanOliewan- 17/01/15 à 11:57:49

On a deja vu du hardware infecté sortir des usines. Pourquoi pas des periphériques thunderbolt ?
En entreprise je crains la portée d'un truc du genre. 
Faut voir comment mes utilisateurs ne se méfient pas en général et encore moins ceux qui utilisent des appareils Apple ("j'ai rien à craindre j'ai un Mac").

Avatar de Reznor26 INpactien
Avatar de Reznor26Reznor26- 17/01/15 à 12:27:25

Myze a écrit :

La news est sensationnel ?
Pour moi c'est de l'information... sinon on serait au courant de rien.

+1

Avatar de anonyme_f168d692f50618cb9f3fd8cadce4e6bc INpactien

Danytime a écrit :

Ils savent plus quoi faire pour faire des news.

J'ai eu le meme ressenti.

 La technique V. Hermann: ALAAAAAAAARRRMMMMEEEEE !!!!  ... pas la peine de paniquer :fume:
 

Il n'est plus possible de commenter cette actualité.
Page 1 / 3