Apple fait face à un souci de sécurité sur une partie des Mac embarquant un EFI. Les failles connues n’ont pas été corrigées, et la réponse de l’entreprise n’est pour l’instant pas adaptée. Une étude récente montre que le danger est déjà concret, environ 5 % des machines testées étant totalement vulnérables.
L’EFI remplace Open Firmware dans les Mac depuis le passage d’Apple aux processeurs Intel en 2006. L’EFI a de nombreux avantages, le principal étant une modernisation franche d’un grand nombre de fonctions. Il sert toujours d’amorçage à la machine et a donc préséance sur le système d’exploitation (à qui il passe le relais), ou même l’hyperviseur dans le cas d’un environnement virtuel. Plus spécifiquement, il bénéficie d'un niveau de privilège -2.
La politique de mise à jour des EFI chez Apple n’est pourtant pas alignée sur les autres. Les aficionados de la marque apprécient généralement cette diffusion généralisée des nouvelles versions sans conditions particulières autre que l’âge du matériel. Ainsi, quand un nouveau macOS est disponible, comme récemment avec High Sierra, tous les Mac compatibles peuvent l’installer sans délai.
Des versions anciennes et différentes selon les Mac
Il arrive parfois qu’Apple mette à jour l’EFI d’une machine. La nouvelle version se présente dans le Mac App Store comme un nouveau firmware. Elle dispose d’un avertissement particulier, mettant bien en garde l’utilisateur contre la mise hors tension pendant l’opération. Une précaution valable depuis qu’un BIOS peut être mis à jour. Il arrive également qu’un nouveau macOS mette de lui-même à jour l’EFI de la machine.
Si l’on en croit pourtant les travaux menés par la Duo Security, la situation est loin d’être idéale. Les chercheurs de l’entreprise ont analysé un échantillon de 73 324 ordinateurs frappés de la pomme et ont découvert que 4,2 % d’entre eux ne possèdent pas l’EFI qu’ils sont pourtant censés avoir, avec des conséquences potentiellement sérieuses.
La plus vieille faille aura bientôt trois ans
Apple n’a guère d’excuse car les vulnérabilités en question ont fait l’objet de nombreuses publications. Plus que les brèches elles-mêmes, ce sont bien les attaques existantes qui posent problème. Souvenez-vous : en janvier 2015, Thunderstrike permettait d’implanter un bootkit dans la machine en passant par un accessoire Thunderbolt spécialement modifié. Il « suffisait » en fait de modifier l’Option ROM (firmware) du périphérique.
Sept mois plus tard, rebelote : Thunderstrike 2 apparaît. Elle contourne la protection (en théorie) diffusée dans une mise à jour via un email frauduleux ou un site web malveillant. Résultat, le Mac est quand même infecté par un bootkit, un type de malware particulièrement difficile à supprimer.
Et comme si la situation n’était déjà pas assez confuse, les publications de WikiLeaks sur les outils de la CIA ont montré à plusieurs reprises que l’agence américaine s’intéressait de près aux produits Apple. C’était notamment le cas avec Sonic Screwdriver, qui nécessitait (comme souvent avec les cyberarmes de la CIA) un accès physique à la machine.
La situation varie fortement selon la combinaison matériel/logiciel
Dès lors, on ne comprend pas pourquoi tous les Mac encore supportés ne disposent pas tous d’un EFI à jour et corrigeant ces problèmes connus. Car c’est bien là le constat de Duo Security : selon l’ordinateur, la version de l’EFI n’est pas la même.
47 modèles de Mac sont ainsi vulnérables à la première version de Thunderstrike, 31 à la deuxième version de l’outil malveillant. Pire selon Duo Security, au moins 16 modèles n’ont pas reçu le moindre nouvel EFI durant toute cette période. Tout aussi étrange, 43 % des iMac de fin 2015 testés n’avaient pas la bonne version du firmware, alors que la détection et l’installation par les serveurs d’Apple est censée être automatique. Il est même arrivé que deux Mac identiques (même modèle et même version de macOS) n’aient pas le même firmware.
En tout, 4,6 % des Mac testés sont considérés comme totalement vulnérables aux attaques connues, sans que l'on sache pourquoi les différentes versions de macOS n'ont pas mis à jour l'EFI. Disposer de la dernière version de macOS ne garantit donc pas l’EFI le plus récent, selon le Mac.
La drôle de réponse d’Apple
Pour une fois, la société n’est pas restée silencieuse devant le problème soulevé par Duo Security. Dans une simple déclaration, elle indique : « Nous apprécions le travail de Duo sur ce problème à l’échelle de toute l'industrie […]. Apple continue de travailler rapidement sur la sécurité des firmwares […]. Afin de fournir une expérience plus sûre et sécurisée dans ce domaine, macOS High Sierra valide automatiquement le firmware des Mac chaque semaine ».
Il s’agit certes d’un point soulevé dans notre article récent sur le nouveau système d’exploitation. Mais cette réponse est pour le moins à côté de la plaque. L’outil intégré inspecte bien l’intégrité de l’EFI et signale à l’utilisateur s’il a été modifié, avec possibilité d’envoyer le rapport à Apple. Deux problèmes cependant.
D’une part, rien n’est dit sur les actions concrètes qui seront menées en cas de problème détecté. D’autre part – et c’est le plus important – la situation actuelle souligne surtout l’âge des firmwares. Or, l’outil n’est pas fait pour remarquer qu’un EFI est trop ancien, seulement pour avertir en cas de modification tierce.
Sur ce point, Apple ne dit rien, comme nos confrères d’Ars Technica ont pu s’en apercevoir.
Danger potentiel : une question de perspective
Le risque réellement encouru par les utilisateurs est difficilement mesurable, et c’est peut-être la raison pour laquelle Apple ne se presse pas. Dans la plupart des cas, l’attaque nécessite un accès physique à la machine, ce qui rend pour beaucoup le danger très relatif.
Mais ce serait un peu vite oublier que les Mac ne sont pas forcément utilisés que par le grand public. Un ordinateur d’entreprise peut contenir des données sensibles, comme des secrets industriels. Que dire du travail d’un journaliste ou d’un activiste des droits de l’homme dans une dictature ou plus simplement dans un pays où la liberté d’expression est soigneusement contrôlée ?
Ce serait tout autant oublier que les multiples publications de WikiLeaks ont montré que la CIA (et donc plus globalement les agences de renseignements) travaille sur des techniques permettant de prendre possession de certaines catégories d’appareils. Elle a développé nombre d’outils requérant un accès physique à la machine. Une condition qui ne pose donc aucune difficulté pour elle.
Par ailleurs, l’EFI n’est pas spécifique à Apple, comme le rappelle aussi Duo Security. Les chercheurs indiquent s’être concentrés sur les Mac car le constructeur dispose d’une situation plutôt unique, d’où il peut contrôler l’intégralité des éléments matériels et logiciels. Il déploie notamment les nouveaux firmwares de la même manière que les autres correctifs et nouvelles versions des applications, via le Mac App Store. La menace pèse cependant tout autant sur les PC.
Duo Security travaille actuellement sur un outil open source nommé EFIgy. Il n’est pour l’instant pas prêt mais sera prochainement publié sur le dépôt GitHub de l’entreprise. Visant macOS, il pourra indiquer si la machine dispose du dernier firmware.
Mettre à jour, mettre à jour, mettre à jour...
Plus généralement, le problème souligné par Duo rappelle l’éternelle consigne de l’informatique : toujours maintenir à jour le système et les applications. De nombreux soucis de sécurité auraient pu être évités si les correctifs avaient été installés en temps et en heure… pour peu qu’ils soient réellement disponibles.
De la même manière que des attaques comme celles de Mirai mettent en évidence le manque de rigueur chez les constructeurs d’objets connectés, l’étude de Duo aura au moins le mérite de braquer les projecteurs sur un aspect moins connu des ordinateurs au sens large : la version de l’EFI.
En attendant, la consigne des chercheurs est assez simple : mettre à jour le Mac vers la dernière révision possible de macOS, idéalement High Sierra.
Commentaires (63)
#1
Elle dispose d’un avertissement particulier, mettant bien en garde
l’utilisateur contre la mise hors tension pendant l’opération. Une
précaution valable depuis qu’un BIOS peut être mis à jour.
J’ai jamais bien compris ça : C’est si difficile d’avoir deux versions en parallèle, l’actuelle et la nouvelle ? Si la nouvelle n’est pas fonctionnelle pour X raisons, il suffit de booter sur l’ancienne non ? Avant quand les ressources étaient très limités je peux comprendre que ce n’était pas envisageable, mais de nos jours ça me paraît faisable.
#2
Le mécanisme de double bios existe depuis bien longtemps sur PC, pour pallier justement aux problèmes lors des mises à jour. Il ne devrait pas être trop compliqué pour Apple de faire la même chose avec deux EFI. Il serait alors possible de mettre à jour l’EFI de manière transparente, sans que cela ne pose de problème à l’utilisateur s’il venait à redémarrer ou éteindre sa machine pendant la procédure.
#3
Pfff je voulais briller avec ma réponse mais tu as été plus rapide de 10s. Merci
" /> 
" /> 
" />
" />
#4
C’est LA solution pour la mise à jour de firmware. Soit tu as deux flash (ou autre), Soit tu découpe ta flash en deux.
#5
En même temps, quand je vois le nombre de personnes qui ne veulent surtout jamais mettre à jour leur système ou leur applications avec le fameux « si ça marche, pourquoi mettre à jour ?? »
#6
#7
C’est surtout le cas des vieux et mauvais informaticiens, je pense que le mécanisme des mises à jour est bien rentré dans les moeurs avec les Play/App Stores.
#8
Chat échaudé craint l’eau froide car certaines M.A.J. peuvent bien te pourrir une prod : de sinistre mémoire, apple nous avait pondu une déclinaison de Snow Leopard (la 10.0.7 si je ne me trompe) qui ne nous permettait plus d’imprimer sur notre copieur Xerox
" />
Juste pour dire qu’il y a des fois où c’est bien d’attendre un peu pour voir comment se comporte une “nouveauté” et si ses avantages sont supérieurs à ses inconvénients.
#9
#10
Est-ce que le risque ne serait pas accru car contrairement au BIOS qui est entièrement en mémoire ROM (mais réinscriptible, paye ton Read Only), une partie de l’EFI est sur le disque dur, sur une partition FAT32.
ça pourrait permettre de mettre un bootkit beaucoup plus facilement aussi.
#11
#12
C’est déjà arrivé a qqun ici de bricker un PC ?
Honnêtement j’ai dû flasher des BIOS, des EFI, des microcontrôleurs, des flash en tous genre, des smarts, des microcontrolleurs industriels, etc., au bas mot un bon millier de fois, si pas bcp plus, et JAMAIS un souci.
Alors je sais qu’une expérience n’est pas représentative, mais quand même…
#13
Le problème des mises à jour c’est aussi que le matériel tout en étant parfaitement fonctionnel ne suit pas forcément. Apple est le champion dans le domaine.
#14
Ils devraient s’en inquiéter car ils fournissent une garantie.
Moins de retour garantie, moins de coûts.
#15
#16
c’est plus un problème de timing que de refus catégorique. c’est comme filezilla: il ne te demande de le mettre à jour que quand tu le lances, et on le lance que quand on en a besoin, donc pas le temps de faire la mise à jour…
#17
A partir du moment où l’outil informatique t’intéresse uniquement quand tu en as besoin, tu ne t’occupes pas de le mettre à jour “plus tard” (= quand tu n’en a plus besoin).
Exemple: c’est quand la dernière fois que tu as affuté ta paire de ciseaux de bureau ?
#18
Ils sont plus souvent remplacés ou perdus qu’affûtés…
#19
Exactement, tout comme le sont les PC/Smartphone pour les gens qui utilisent ces appareils comme des outils.
Je pourrais prendre l’exemple des téléphones de bureau genre alcatel ou les imprimantes ou les téléviseurs… Même un moniteur de PC à un firmware. Et pourtant c’est le genre d’appareil qu’on ne met pas à jour et qu’on utilise jusqu’à la panne fatidique qui nécessitera son remplacement
#20
On est arrivés à une époque où tout a un firmware quand c’est plus compliqué qu’un interrupteur.
Parce que c’est moins cher une puce à programmer que de faire un autre système dès qu’il dépasse la complexité de l’interrupteur.
#21
#22
Que dire du travail d’un journaliste ou d’un activiste des droits de l’homme dans une dictature ou plus simplement dans un pays où la liberté d’expression est soigneusement contrôlée ?
Ben… abandonne les macs pour Linux, ça sera sans doute mieux… et tu paraîtras un peu moins péteux et un peu plus sérieux.(
#23
#24
exactement.
du coup, si les mises à jour ne sont pas automatiques (comme firefox/chrome) elles ne sont pas faites, ou trop rarement
#25
les journalistes sont sur mac.
#26
#27
c’est pas difficile, c’est juste plus cher. Tu ne voudrais quand même pas que Apple diminue sa marge de quelques centimes sur chaque Mac vendu, si?
#28
Pas à moi perso, mais je sais que ça arrivait de temps en temps à des mecs qui flashaient le bios de leur CM depuis Windows XP, tout en faisant autre chose en même temps, qui finissait par planter Windows… je te laisse imaginer la suite…
#29
Mon raisonnement est différent entre un pc et un Mac dans le cas d’un passage sur Linux et seulement Linux?
#30
L’EFI remplace le BIOS dans les Mac depuis le passage d’Apple aux processeurs Intel en 2006
J’ai arrêté de lire là, parce que c’est l’envolée des incultes !
Il n’y a jamais eu de BIOS dans Macintosh pour la simple et bonne raison que Macintosh n’hérite pas de CP/M contrairement aux PC.
BIOS n’est pas synonyme de firmware. Il y a très longtemps, entre 1982 et 1984, j’ai utilisé une machine qui chargeait le BIOS depuis une disquette.
#31
Dès lors, on ne comprend pas pourquoi tous les Mac encore supportés ne
disposent pas tous d’un EFI à jour et corrigeant ces problèmes connus.
Si il y a des utilisateurs comme mon parrain, ça ne sera jamais à jour (ni l’EFI ni quoi que ce soit d’autre).
En attendant, la consigne des chercheurs est assez simple : mettre à
jour le Mac vers la dernière révision possible de macOS, idéalement High
Sierra.
Ce qui peut sembler simple à la plupart ne l’est pas pour tout le monde.
#32
Tu peux aussi le dire gentiment, et comprendre que des fois, on simplifie le propos, car c’est pas le sujet de l’article…
#33
je ne vais pas le dire gentiment parce que j’en ai plus que marre que des incultes diffusent leur ignorance sur Internet et simplifier au point de mentir n’est pas une solution.
#34
#35
La partie introductive contient effectivement une erreur technique grossière.
Les machines à base de PowerPC utilisaient openfirmware comme logiciel de boot, un truc développé à la base par Sun
https://fr.wikipedia.org/wiki/Open_Firmware
Il me semble qu’il avait même été question de le porter sur x86 un moment pour tuer l’antique bios, avant qu’intel dégaine l’EFI comme remplacement.
En tout cas, hors prototypes internes de build d’Apple et peut-être quelques hackintosh il y a pas de mac avec un BIOS au sens strict du terme, ils sont tous directement sortis sous EFI
#36
#37
vu que le Mac est un Unix, c’est moins flagrant de passer de Mac à Linux que de Windows à Linux.
Et le matos Mac étant assez uniforme, il est facile de le supporter sur Linux, pour peu que les drivers soient dispos.
Mais oui, personne le fera.
#38
moins flagrant en cli oui, en gui c’est quand même un peu plus flagrant (déjà on a le choix ^^)
#39
#40
et au passage une bidouille pour mettre à jour l’EFI sans passer à High Sierra
" />
http://macbidouille.com/news/2017/10/03/flasher-le-firmware-dun-mac-sans-le-pass…
#41
Et bien ça se voit que tu gères pas des SI avec 50 macintosh :/
Il existe des environnements professionnels ou le setup du logiciel métier est aux petits oignons, et foutre en l’air ce travail en mettant à jour le système juste par ce que “oh regarde je peux parler avec Siri maintenant” c’est juste pas possible.
Mieux encore, avoir une machine fonctionnant parfaitement sous OSX 10.10⁄10.11 et la voir devenir une brouette sous 10.12…. A 3000€ la bécane tu vas avoir du mal à faire passer ça en entreprise.
Voir qu’il utilise la même stratégie entre un téléphone (iOS même combat) et un ordinateur c’est pour moi du grand n’importe quoi.
Nous sortir un OS différents tous les ans avec 3 options supp. et que la jeune génération d’informaticien trouve ça normal me dépasse un peu je dois avouer.
Mais bon ça fait fonctionner le capitalisme alors réjouissons nous :)
#42
Où est la différence entre sortir un OS tous les ans avec relativement peu de changements ou un OS tous les trois ans qui casse tout ? Dans un cas tu évolues au fur et à mesure et le travail n’est pas énorme pour migrer, dans l’autre tu dois remettre en question tous tes outils tous les 3 ans.
Je pense que c’est le rythme Windows pré-8 d’une mise à jour tous les 5 ans qui perturbe tous les SI et qui font qu’ils ne sont toujours pas à jour (et donc vulnérables !) parfois 3 ou 4 ans après la sortie des nouveaux OS.
Une mise à jour logicielle ça peut casser des choses et c’est toujours bien d’attendre un peu, mais chez beaucoup de services le “un peu” devient rapidement “un an, deux ans”, souvent faute de temps ou de moyens, et ça, c’est ce qui met en danger toutes nos données comme on peut le voir régulièrement avec les fuites de millions de données clients.
#43
#44
Je comprends ce que tu veux dire mais il faut toujours que la sécurité soit en accord avec la réalité.
Regarde donc le commentaire de jb18v
#45
Le script est disponible
" />
voila ce que ça donne pour mon Imac 27 mi 2011:
python EFIgyLite_cli.py
EFIgyLite API Information:
API Version: 0.2
Updated On: Oct 3 2017, 16:44
Enumerated system informaton (This data will be sent to the API in order to determine your correct EFI version):
Hashed SysUUID : 128764cadbaf1a750f3f49d5cc72ff2a19b44c277345133065622b95a1cc6e54
Hardware Version : iMac12,2
Boot ROM Version : IM121.0047.B29
SMC Version : 1.72f2
Board-ID : Mac-942B59F58194171B
OS Version : 10.12.6
Build Number : 16G29
[?] Do you want to continue and submit this request? [Y/N] y
EFI firmware version check:
[+] SUCCESS - The EFI Firmware you are running (IM121.0047.B29) is the expected version for the OS build you have installed (16G29) on your iMac12,2
Highest build number check:
[+] SUCCESS - You are running the latest build number (16G29) of the OS version you have installed (10.12.6)
Up-to-date OS check:
[+] SUCCESS - You are running the latest major/minor/micro version of the OS you have installed (10.12.6)
#46
#47
#48
La flash cela ne coûte pas aussi cher, surtout avec les quantités vendues par Apple. On parle ici de quelques centimes… Et la R&D tu ne la fait pas 10 fois, tu réutilise plus ou moins le bloc existant à chaque nous PC, et franchement au vue des marges et du nombre de vente, la R&D d’une telle chose est tellement négligeable…
#49
Oui on est d’accord la mise à jour de l’EFI doit être indépendante de l’OS.
Et les mises à jour de sécurité doivent continuer sur un ancien OS même après la sortie du nouveau, mais ça, c’est déjà le cas.
#50
Pardon ?
Quand je peux effacer le disque, installer linux sur une mono partition ext4 comme un connard avec une partition efi qui fait exactement la taille de grub sans soucis, à quel moment la carte mère à besoin d’un périphérique de stockage pour fonctionner ?
#51
T’as déjà eu une coupure de courant pendant l’opération ?
#52
Ce sont des outils et tout outil requiert maintenance tôt ou tard.
#53
niveau de privilège -2 : Sur les processeur x86/x64, il n’existe que 4 niveau de privilège : 0 à 3.0 pour le bas (en général le noyau) et 3 pour le plus haut (en général les applications).
Au-delà de ces 4 niveaux, je n’ai pas à ma connaissance de documentation (ni d’Intel, ni d’AMD) faisant étant d’autres niveaux privilèges.
#54
Quelle différence entre le 3.0 et le 3 ?
" />
#55
Coquille de ma part, il manque l’espace entre “3.” et “0”:
Il n’existe que 4 niveau de privilège : “0” à “3”. le niveau “0” pour le bas (en général le noyau) et le niveau “3” pour le plus haut (en général les applications).
#56
salut
euh l’efi remplace l’open firmware des ppc…pas le bios. autant dire pas forcément la meilleure chose mise en place ces dernières années :/
#57
bah au moment où tu dis “partition pour l’EFI sur le disque dur”. ce n’est que pour faire le lien entre l’EFI à proprement parlé et grub mais c’est un vecteur d’attaque assez facile à accéder.
#58
Avec ce genre de merdes :https://en.wikipedia.org/wiki/Intel_Active_Management_Technology#Ring_-3_rootkit
Et on considère qu’un hyperviseur qui fait tourner des noyaux en Ring 0 se situe en Ring -1
#59
Firmware ??
Bah parle français on te comprendra mieux et cela fera moins péteux.
En bon français dans la langue de ma mère on dit micro logiciel.
Inutile de spécifier qu’ il est sur une disquette, un disque dur ou du silicium reprogrammable.
Parce que cela ne change rien à son statut de fait de “micrologiciel” et que n’ importe quel constructeur a le droit de le placer où bon lui semble que ce soit sur une mémoire électronique reprogrammable, une disquette même si la fiabilité n’ est pas la meilleure ou un disque dur comme sur ma carte mère ASUS en cas de plantage …..
Le micrologiciel de la machine se trouve sur une mémoire électronique uniquement parce qu’ on a pas trouvé de support mémoire plus fiable actuellement avec un rapport encombrement/ consommation d’ énergie plus favorable.
#60
#61
Tu peux remplacer/ajouter/effacer des fichiers .efi qui servent à démarrer un système, ça ne change pas l’ordre de démarrage parce que tu ajoutes un fichier .efi, le fichier .efi fraîchement ajouté est juste ignoré tant qu’il n’a pas été réclamé par l’utilisateur, sauf si le démarrage a été codé avec le cul.
#62
Mais ce sont des technologies qui tournent à des niveaux de privilèges supérieurs aux autres rings. Les hyperviseurs tournent bien en dessous des machines virtuelles, et peuvent altérer le fonctionnement des VM qui sont en Ring 0, d’où cette numérotation négative. D’autant plus qu’ils sont complètement invisibles pour les ring supérieur.
Si Intel ou Amd n’ont pas nommé ça comme ça, ça fait plus de 10 ans que les spécialistes appellent déjà “Ring -1” les instructions de virtualisations.
#63