Thunderbolt est touché par une nouvelle défaillance, nommée Thunderspy, permettant de récupérer l’ensemble des données d’une machine... à condition d’y avoir un accès physique. Intel tempère la découverte, évoquant des procédures de sécurité en place. Mais ce n'est pas si simple.
Il y a un peu plus d’un an, la faille Thunderclap de Thunderbolt 3 faisait parler d’elle. Aujourd’hui, Björn Ruytenberg de l’université d’Eindhoven revient sur le devant de la scène avec Thunderspy détaillée dans une publication scientifique détaillée. Elle a bien évidemment droit à son site dédié.
Ses conséquences peuvent être graves selon le chercheur : « Si votre ordinateur possède un port Thunderbolt, un attaquant qui y accède physiquement [et qui dispose d’un tournevis pour le démonter en partie, ndlr] peut lire et copier toutes vos données, même si votre périphérique de stockage est chiffré, que votre ordinateur est verrouillé ou en veille. Thunderspy est furtif, ce qui signifie que vous ne trouverez aucune trace de l'attaque ».
Neuf attaques sur Windows et Linux, macOS partiellement concerné
Le chercheur et d’autres experts de son université enfoncent le clou : « Nous avons trouvé sept vulnérabilités dans la conception d'Intel et développé neuf scénarios exploitables sur la façon dont elles pourraient être exploitées par une entité malveillante pour accéder à votre système ».
Les machines sous Windows et Linux sont vulnérables aux neuf attaques, tandis que celles sous macOS ne sont que partiellement concernées par deux d’entre elles.
Dans la pratique, il faut pouvoir ouvrir le capot arrière du portable afin de flasher le firmware du contrôleur Thunderbolt (une boîte à outils a été mise en ligne). Cette opération ne prendrait pas plus de cinq minutes. En plus de désactiver les sécurités de Thunderbolt, cela permet de bloquer les mises à jour futur du firmware.
Un logiciel open source est mis à disposition sur GitHub afin de vérifier si votre machine – sous Windows ou Linux –est vulnérable à Thunderspy. Une vidéo explicative a aussi également publiée :
Pour Intel, circulez il n‘a rien à voir…
Selon Intel, il n’y aurait (presque rien) de neuf dans cette histoire : « Bien que la vulnérabilité sous-jacente ne soit pas nouvelle et qu’elle ait déjà été corrigée dans des versions des systèmes d’exploitation publiées l’année dernière, les chercheurs ont démontré de nouveaux vecteurs d’attaque potentiels à l’aide d’un dispositif personnalisé sur des systèmes qui n’avaient pas ces mesures d’atténuation activées ».
Selon le géant américain, les protections mises en place sur le noyau Linux 5.x, macOS 10.12.4 et Windows 10 dans sa version 1803 seraient donc suffisantes pour se protéger de Thunderspy. Il ajoute que « les chercheurs n'ont pas démontré d'attaques réussies contre des systèmes avec ces atténuations activées ».
… ou pas selon les chercheurs
Mais selon Wired, tout n’est pas aussi simple : « Cette protection Kernel DMA fait défaut dans tous les ordinateurs fabriqués avant 2019, et elle n'est toujours pas un standard aujourd’hui ». Cela ne contredit certes pas la déclaration d’Intel, mais apporte une nuance très importante : de nombreuses machines seraient vulnérables.
Nos confrères ajoutent que les chercheurs n’auraient ainsi trouvé « aucune machine Dell dotée de la protection Kernel DMA, y compris celles de 2019 et plus récentes, et ils n'ont pu identifier que quelques modèles HP et Lenovo de 2019 ou plus récent l’utilisant ».
Interrogée par nos confrères, Dell explique que les « clients préoccupés par ces menaces […] éviter de connecter des périphériques inconnus ou non fiables à leur PC » ; les clients apprécieront certainement la réponse. Le fabricant renvoie vers Intel pour plus de détails… qui renvoie à son tour vers les fabricants.
De son côté, HP affirme que la plupart de ses ordinateurs fixes et mobiles sont protégés (c’est le cas de ceux supportant Sure Start Gen5), tandis que Lenovo réfléchit encore à sa réponse sur le sujet et que Samsung n’a pas répondu. Bref, c’est effectivement loin d’être gagné.
Björn Ruytenberg prévoit de revenir plus en détail sur Thunderspy lors de la conférence Black Hat à l’automne 2020. Espérons que cela sera pris en compte pour les périphériques USB4, basé sur Thunderbolt 3.
