Thunderstrike : une faille qui s'attaque à la gestion du démarrage des Mac

Thunderstrike : une faille qui s’attaque à la gestion du démarrage des Mac

Un chercheur en sécurité IT vient de dévoiler une faille au sein de l’EFI des Mac, qui gère la procédure de démarrage des ordinateurs Apple.

Publié le 31 décembre 2014 - 14:54 par François Giraud

31c3 : Trammell Hudson découvre la faille Thunderstrike qui s’attaque aux Mac

A l’occasion de la 31e conférence du Chaos Computer Club (31c3), le chercheur en sécurité IT  Trammell Hudson vient de dévoiler une faille qui s’attaquerait aux ordinateurs Apple via le Thunderbolt. Baptisée Thunderstrike, cette vulnérabilité peut installer un malware exécutable à l’intérieur de l’EFI Boot ROM, qui gère la procédure de démarrage des Mac. La diffusion de ce malware s’effectue à partir du périphérique Thunderbolt et la ROM peut ainsi être infectée.

La seule solution est de reprogrammer l’EFI Boot ROM de l’ordinateur infecté

Le chercheur indique que cette faille est très difficile à être détectée une fois que le programme interne de l’EFI a été flashé. Il est également très difficile de retirer cette vulnérabilité car il faut procéder à une réinitialisation de l’EFI. Cette ROM étant indépendante de l’OS installé sur l’ordinateur, il n’est pas utile de réinstaller l’OS, celà ne servirait à rien. Pour éradiquer cette faille de sécurité majeure, il faut reprogrammer l’EFI et déjà savoir s’il a été modifié. Cette reprogrammation devra être réalisée de manière matérielle et pas logicielle car le malware qui a infecté la machine est signé avec une clé unique créée par le pirate et qui est différente de la clé publique émise par la marque à la Pomme.

infection via Thunderbolt Apple

Publicité

Une faille moins grave qu’il n’y paraît, Apple travaille sur une mise à jour

Cette vulnérabilité serait moins grave qu’elle n’y paraît. En effet, pour qu’elle soit active, le hacker doit accéder physiquement à votre terminal Apple et y installer un appareil Thunderbolt modifié. De p)lus, le malware, une fois installé, ne peut pas accéder à vos données sensibles car il est uniquement présent dans la ROM de démarrage, mais peut tout de même modifier quelques éléments comme votre mot de passe. Le chercheur Trammel Hudson a d’ores et déjà contacté Apple pour signaler cette vulnérabilité et la marque à la Pomme aurait déjà mis en place des mesures modifiant la procédure de démarrage. Les nouveaux modèles seront donc protégés et les anciens modèles bénéficieront d’une mise à jour de sécurité majeure afin qu’ils ne puissent plus être infectés par ce malware.



Ailleurs sur le web


Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *