Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Thunderbolt : Thunderstrike 2 peut infecter les firmwares des Mac à distance

Il revient, et il n'est pas content
Logiciel 5 min
Thunderbolt : Thunderstrike 2 peut infecter les firmwares des Mac à distance
Crédits : alengo/iStock

En janvier dernier, deux chercheurs en sécurité montraient comment un périphérique Thunderbolt pouvait être utilisé sur Mac pour infecter ensuite les autres périphériques du même acabit. L'une des brèches a été depuis colmatée, mais l’exploitation, baptisée Thunderstrike, revient désormais dans une version 2 qui peut être déclenchée à distance.

Thunderstrike avait pour objectif de placer dans un périphérique Thunderbolt un bootkit qui pouvait ensuite infecter le Mac lors de la connexion. Le malware était en fait stocké dans l’Option ROM du périphérique (dans les grandes lignes, son firmware), qui peut être un accessoire aussi simple que l’adaptateur d’Apple Thunderbolt vers Ethernet Gigabit. Une fois connecté sur le Mac, le bootkit s’installait dans le firmware de la machine et devenait capable alors d’infecter tous les autres accessoires, à condition qu’ils disposent eux aussi d’une Option ROM.

La seule réelle barrière à l’exploitation de cette faille (qui a été en partie corrigée avec la mise à jour 10.10.2 pour Yosemite) est qu’il fallait un accès physique à la machine. Une fois qu’elle était infectée, elle pouvait se transformer en relais automatique pour le bootkit. Mais les chercheurs Xeno Kovah et Trammell Hudson ont travaillé sur une version 2 de l’exploit qui a désormais la capacité de pouvoir être déclenché à distance.

Thunderstrike revient et peut être déclenchée à distance

Le principe reste globalement le même, mais quand l’accès physique à la machine est impossible, les pirates ont la possibilité d’envoyer un email ou de préparer un site web malveillant pour exécuter du code, l’objectif étant bien sûr de provoquer l’infection initiale de l’accessoire Thunderbolt branché sur le Mac. Une fois cette étape passée, la machine peut redevenir le relais d’infection qu’elle aurait été avec un accès direct à la machine.

Pour Xeno Kovah, il est extrêmement difficile de combattre un tel problème : « Il est très difficile de détecter [cette attaque], très difficile de s’en débarrasser, très difficile de se protéger contre quelque chose qui fonctionne à l’intérieur d’un firmware. Pour la plupart des utilisateurs, c’est réellement le genre de situation où ne peut que jeter sa machine. La plupart des gens et des entreprises n’ont pas les ressources pour ouvrir physiquement leur machine et reprogrammer électriquement la puce ». Car là est bien le problème.

Une technique efficace et particulièrement discrète

Difficile en effet en déloger le bootkit transmis par l’Option ROM d’un périphérique Thunderbolt. D’une part, la grande majorité des produits de sécurité ne scannent pas ce type d’emplacement, se concentrant surtout sur les fichiers stockés dans le disque et sur la mémoire vive. Mais, d'autre part, même s’ils pouvaient détecter le malware, ce dernier ne pourrait pas pour autant être supprimé facilement car Thunderstrike referme derrière lui la porte qu’il a empruntée : il corrige la faille pour ne pas être dérangé ensuite.

Ce type de technique est selon les chercheurs assez proches des méthodes que l’on prête à la NSA : très efficaces une fois en place, particulièrement délicate à détecter, et encore davantage à supprimer, sans parler de la quasi-absence de traces sur la machine. On se rappelle également de la technique utilisée par Duqu 2.0 sur les machines du propre réseau de Kaspersky, et qui était si subtile et discrète que même l’éditeur a mis du temps à en comprendre le mécanisme.

C’est globalement le souci quand on parle d’infection des firmwares. Comme nous l’avions déjà indiqué, stocker un code malveillant directement dans le matériel représente la destination idéale pour les pirates, quels qu’ils soient. En fonction du type de stockage visé, ils seront ainsi certains que le matériel aura préséance, son initialisation se faisant dans tous les cas avant le logiciel, et donc avant le système d’exploitation et les antivirus.

Des implémentations de référence qui rendent les exploitations reproductibles

« Les gens ne sont pas conscients du fait que ces petites puces peuvent réellement infecter leur firmware ». Et si le grand public est effectivement peu à même de comprendre les risques, les chercheurs n’hésitent pas à donner d’autres exemples : « Disons que vous faites tourner une centrifugeuse de raffinement de l’uranium et qu’elle n’est connectée à aucune réseau. Mais des gens viennent avec leurs portables et ils partagent peut-être leur adaptateurs Ethernet ou SSD externes pour expédier ou recevoir des données. Ces SSD ont des firmwares qui pourraient potentiellement transporter ce type d’infection ». On notera que l’exemple des centrifugeuses a été choisi en référence à Stuxnet, qui avait laissé des traces de son infection et avait donc permis l’enquête. Dans le cas de Thunderstrike, la piste serait beaucoup plus complexe à dénicher.

Xeno Kovah et Trammell Hudson indiquent par ailleurs que les problèmes de sécurité résident surtout dans le modèle global des firmwares EFI, utilisés par de nombreux constructeurs pour leurs machines et périphériques. « La plupart de ces firmwares sont bâtis à partir des mêmes implémentations de référence, donc quand quelqu’un trouve un bug qui affecte les ordinateurs portables Lenovo, il y a de bonnes chances qu’il affecte également ceux de Dell et HP » explique ainsi Kovah. Certaines vulnérabilités sont actuellement corrigées, mais les chercheurs n’ont pas dit lesquelles. Dans le cas d’Apple, seule une faille a été pleinement colmatée, une autre partiellement et trois autres restent ouvertes.

Pas de solution idéale, mais la rapidité prime

Comment régler le problème dans ce cas ? Les constructeurs pourraient signer leurs firmwares et mises à jour, tout en intégrant un mécanisme de vérification de ces signatures. Il s’agirait alors de contrôler l’intégrité de ce qui est présenté à un appareil. Comme le fait cependant remarquer Wired, cette méthode comporte un important bémol : si un groupe de pirates a les ressources suffisantes (notamment s’ils sont aidés par un gouvernement), ils pourraient être en mesure de voler la clé maître d’un constructeur, lui ouvrant de nombreuses portes.

D’autres informations seront probablement dévoilées durant la présentation de leurs derniers travaux le 6 août, lors de la conférence Black Hat. En attendant, la thématique des infections de firmwares est essentiellement secrète pour le grand public, ce qui ne signifie pas que l’industrie reste les bras croisés : « Certaines sociétés comme Dell et Lenovo ont été très actives en essayant de supprimer rapidement les vulnérabilités de leur firmware. La plupart des autres, dont Apple, ne l’ont pas fait ».

20 commentaires
Avatar de Northernlights Abonné
Avatar de NorthernlightsNorthernlights- 04/08/15 à 13:46:53

Le seul point positif, c'est que le champs d'action de ces virus est pour le moment limité

Avatar de 5h31k INpactien
Avatar de 5h31k5h31k- 04/08/15 à 13:55:39

Northernlights a écrit :

Le seul point positif, c'est que le champs d'action de ces virus est pour le moment limité

Et en quoi leurs champs d'action est limité? si tu parles parce que la faille a été trouvé sur Thunderbolt, elle existe certainement déjà pour les autres systèmes d'exploitation. Sinon, peux-tu éclairer ma lanterne en donnant plus de précision à tes propos? Merci.

Avatar de atomusk INpactien
Avatar de atomuskatomusk- 04/08/15 à 13:56:15

C'est moi, où on avait la même faille de sécurité sur l'USB il n'y a pas si longtemps ? :transpi:

Avatar de Nerro Abonné
Avatar de NerroNerro- 04/08/15 à 14:02:47

Non la Faille de l'USB était beaucoup moins efficace et beaucoup moins discrète.

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 04/08/15 à 14:10:43

En tout cas, le vers qui corrige la faille qui lui a permis d'infecter la machine :yes::D:D:D

Avatar de Mimigallifrey INpactien
Avatar de MimigallifreyMimigallifrey- 04/08/15 à 14:14:19

eliumnick a écrit :

En tout cas, le vers qui corrige la faille qui lui a permis d'infecter la machine :yes::D:D:D

Ça me fait penser à  certains Rootkit qui font anti-virus pour éviter que l'utilisateur cherche plus profondément en cas d'infection secondaire. (du genre OpenCandy ou un PUP du genre qui ferait râler rapidement bon nombre d'AV)
Je me demande si ce n'était pas Stuxnet d'ailleurs ... Ou un Zeus-like.
 
 Édit: fraute de fappe.

Édité par Mimigallifrey le 04/08/2015 à 14:15
Avatar de chris.tophe INpactien
Avatar de chris.tophechris.tophe- 04/08/15 à 14:39:15

Rohhhh le gros sujet à troll

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 04/08/15 à 15:22:05

La méthode de signature des firmwares est quand même la plus efficace, je suis d'ailleurs étonné qu'elle ne soit pas déjà en place. Evidemment, un vol de la clé maitre ouvre toutes les portes, mais cette méthode de protection à l'avantage de nécessiter bien souvent un accès physique : la clé de signature peut (et doit) tout à fait être stockée dans un coffre fort dans les locaux d'Apple par exemple. Bon courage aux gouvernements ennemis qui voudraient la dérober pour signer de faux firmwares.
 
En attendant ça bloquera 99% des autres attaques, à moins bien sûr que le mécanisme de vérification de la signature soit lui-même buggué.

Avatar de anonyme_f168d692f50618cb9f3fd8cadce4e6bc INpactien

De nos jours il y a moins de fuites dans les couches culottes que chez Apple et µsoft réunis.

Avatar de jb07 Abonné
Avatar de jb07jb07- 04/08/15 à 18:09:27

En même temps, vu le nombre de périphériques Thunderbolt en circulation (quand les tarifs riment avec dissuasifs...), ça ne risque pas de concerner grand monde.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2