Apple fait face à un souci de sécurité sur une partie des Mac embarquant un EFI. Les failles connues n’ont pas été corrigées, et la réponse de l’entreprise n’est pour l’instant pas adaptée. Une étude récente montre que le danger est déjà concret, environ 5 % des machines testées étant totalement vulnérables.
L’EFI remplace Open Firmware dans les Mac depuis le passage d’Apple aux processeurs Intel en 2006. L’EFI a de nombreux avantages, le principal étant une modernisation franche d’un grand nombre de fonctions. Il sert toujours d’amorçage à la machine et a donc préséance sur le système d’exploitation (à qui il passe le relais), ou même l’hyperviseur dans le cas d’un environnement virtuel. Plus spécifiquement, il bénéficie d'un niveau de privilège -2.
La politique de mise à jour des EFI chez Apple n’est pourtant pas alignée sur les autres. Les aficionados de la marque apprécient généralement cette diffusion généralisée des nouvelles versions sans conditions particulières autre que l’âge du matériel. Ainsi, quand un nouveau macOS est disponible, comme récemment avec High Sierra, tous les Mac compatibles peuvent l’installer sans délai.
Des versions anciennes et différentes selon les Mac
Il arrive parfois qu’Apple mette à jour l’EFI d’une machine. La nouvelle version se présente dans le Mac App Store comme un nouveau firmware. Elle dispose d’un avertissement particulier, mettant bien en garde l’utilisateur contre la mise hors tension pendant l’opération. Une précaution valable depuis qu’un BIOS peut être mis à jour. Il arrive également qu’un nouveau macOS mette de lui-même à jour l’EFI de la machine.
Si l’on en croit pourtant les travaux menés par la Duo Security, la situation est loin d’être idéale. Les chercheurs de l’entreprise ont analysé un échantillon de 73 324 ordinateurs frappés de la pomme et ont découvert que 4,2 % d’entre eux ne possèdent pas l’EFI qu’ils sont pourtant censés avoir, avec des conséquences potentiellement sérieuses.
La plus vieille faille aura bientôt trois ans
Apple n’a guère d’excuse car les vulnérabilités en question ont fait l’objet de nombreuses publications. Plus que les brèches elles-mêmes, ce sont bien les attaques existantes qui posent problème. Souvenez-vous : en janvier 2015, Thunderstrike permettait d’implanter un bootkit dans la machine en passant par un accessoire Thunderbolt spécialement modifié. Il « suffisait » en fait de modifier l’Option ROM (firmware) du périphérique.
Sept mois plus tard, rebelote : Thunderstrike 2 apparaît. Elle contourne la protection (en théorie) diffusée dans une mise à jour via un email frauduleux ou un site web malveillant. Résultat, le Mac est quand même infecté par un bootkit, un type de malware particulièrement difficile à supprimer.
Et comme si la situation n’était déjà pas assez confuse, les publications de WikiLeaks sur les outils de la CIA ont montré à plusieurs reprises que l’agence américaine s’intéressait de près aux produits Apple. C’était notamment le cas avec Sonic Screwdriver, qui nécessitait (comme souvent avec les cyberarmes de la CIA) un accès physique à la machine.
La situation varie fortement selon la combinaison matériel/logiciel
Dès lors, on ne comprend pas pourquoi tous les Mac encore supportés ne disposent pas tous d’un EFI à jour et corrigeant ces problèmes connus. Car c’est bien là le constat de Duo Security : selon l’ordinateur, la version de l’EFI n’est pas la même.
47 modèles de Mac sont ainsi vulnérables à la première version de Thunderstrike, 31 à la deuxième version de l’outil malveillant. Pire selon Duo Security, au moins 16 modèles n’ont pas reçu le moindre nouvel EFI durant toute cette période. Tout aussi étrange, 43 % des iMac de fin 2015 testés n’avaient pas la bonne version du firmware, alors que la détection et l’installation par les serveurs d’Apple est censée être automatique. Il est même arrivé que deux Mac identiques (même modèle et même version de macOS) n’aient pas le même firmware.
En tout, 4,6 % des Mac testés sont considérés comme totalement vulnérables aux attaques connues, sans que l'on sache pourquoi les différentes versions de macOS n'ont pas mis à jour l'EFI. Disposer de la dernière version de macOS ne garantit donc pas l’EFI le plus récent, selon le Mac.
La drôle de réponse d’Apple
Pour une fois, la société n’est pas restée silencieuse devant le problème soulevé par Duo Security. Dans une simple déclaration, elle indique : « Nous apprécions le travail de Duo sur ce problème à l’échelle de toute l'industrie […]. Apple continue de travailler rapidement sur la sécurité des firmwares […]. Afin de fournir une expérience plus sûre et sécurisée dans ce domaine, macOS High Sierra valide automatiquement le firmware des Mac chaque semaine ».
Il s’agit certes d’un point soulevé dans notre article récent sur le nouveau système d’exploitation. Mais cette réponse est pour le moins à côté de la plaque. L’outil intégré inspecte bien l’intégrité de l’EFI et signale à l’utilisateur s’il a été modifié, avec possibilité d’envoyer le rapport à Apple. Deux problèmes cependant.
D’une part, rien n’est dit sur les actions concrètes qui seront menées en cas de problème détecté. D’autre part – et c’est le plus important – la situation actuelle souligne surtout l’âge des firmwares. Or, l’outil n’est pas fait pour remarquer qu’un EFI est trop ancien, seulement pour avertir en cas de modification tierce.
Sur ce point, Apple ne dit rien, comme nos confrères d’Ars Technica ont pu s’en apercevoir.
Danger potentiel : une question de perspective
Le risque réellement encouru par les utilisateurs est difficilement mesurable, et c’est peut-être la raison pour laquelle Apple ne se presse pas. Dans la plupart des cas, l’attaque nécessite un accès physique à la machine, ce qui rend pour beaucoup le danger très relatif.
Mais ce serait un peu vite oublier que les Mac ne sont pas forcément utilisés que par le grand public. Un ordinateur d’entreprise peut contenir des données sensibles, comme des secrets industriels. Que dire du travail d’un journaliste ou d’un activiste des droits de l’homme dans une dictature ou plus simplement dans un pays où la liberté d’expression est soigneusement contrôlée ?
Ce serait tout autant oublier que les multiples publications de WikiLeaks ont montré que la CIA (et donc plus globalement les agences de renseignements) travaille sur des techniques permettant de prendre possession de certaines catégories d’appareils. Elle a développé nombre d’outils requérant un accès physique à la machine. Une condition qui ne pose donc aucune difficulté pour elle.
Par ailleurs, l’EFI n’est pas spécifique à Apple, comme le rappelle aussi Duo Security. Les chercheurs indiquent s’être concentrés sur les Mac car le constructeur dispose d’une situation plutôt unique, d’où il peut contrôler l’intégralité des éléments matériels et logiciels. Il déploie notamment les nouveaux firmwares de la même manière que les autres correctifs et nouvelles versions des applications, via le Mac App Store. La menace pèse cependant tout autant sur les PC.
Duo Security travaille actuellement sur un outil open source nommé EFIgy. Il n’est pour l’instant pas prêt mais sera prochainement publié sur le dépôt GitHub de l’entreprise. Visant macOS, il pourra indiquer si la machine dispose du dernier firmware.
Mettre à jour, mettre à jour, mettre à jour...
Plus généralement, le problème souligné par Duo rappelle l’éternelle consigne de l’informatique : toujours maintenir à jour le système et les applications. De nombreux soucis de sécurité auraient pu être évités si les correctifs avaient été installés en temps et en heure… pour peu qu’ils soient réellement disponibles.
De la même manière que des attaques comme celles de Mirai mettent en évidence le manque de rigueur chez les constructeurs d’objets connectés, l’étude de Duo aura au moins le mérite de braquer les projecteurs sur un aspect moins connu des ordinateurs au sens large : la version de l’EFI.
En attendant, la consigne des chercheurs est assez simple : mettre à jour le Mac vers la dernière révision possible de macOS, idéalement High Sierra.
