Connexion
Abonnez-vous

EFI vulnérables dans les Mac : quand l’intégration verticale ne fait pas tout

Sous le vernis de la simplicité

EFI vulnérables dans les Mac : quand l'intégration verticale ne fait pas tout

Le 04 octobre 2017 à 06h30

Apple fait face à un souci de sécurité sur une partie des Mac embarquant un EFI. Les failles connues n’ont pas été corrigées, et la réponse de l’entreprise n’est pour l’instant pas adaptée. Une étude récente montre que le danger est déjà concret, environ 5 % des machines testées étant totalement vulnérables.

L’EFI remplace Open Firmware dans les Mac depuis le passage d’Apple aux processeurs Intel en 2006. L’EFI a de nombreux avantages, le principal étant une modernisation franche d’un grand nombre de fonctions. Il sert toujours d’amorçage à la machine et a donc préséance sur le système d’exploitation (à qui il passe le relais), ou même l’hyperviseur dans le cas d’un environnement virtuel. Plus spécifiquement, il bénéficie d'un niveau de privilège - 2.

La politique de mise à jour des EFI chez Apple n’est pourtant pas alignée sur les autres. Les aficionados de la marque apprécient généralement cette diffusion généralisée des nouvelles versions sans conditions particulières autre que l’âge du matériel. Ainsi, quand un nouveau macOS est disponible, comme récemment avec High Sierra, tous les Mac compatibles peuvent l’installer sans délai.

Des versions anciennes et différentes selon les Mac

Il arrive parfois qu’Apple mette à jour l’EFI d’une machine. La nouvelle version se présente dans le Mac App Store comme un nouveau firmware. Elle dispose d’un avertissement particulier, mettant bien en garde l’utilisateur contre la mise hors tension pendant l’opération. Une précaution valable depuis qu’un BIOS peut être mis à jour. Il arrive également qu’un nouveau macOS mette de lui-même à jour l’EFI de la machine.

Si l’on en croit pourtant les travaux menés par la Duo Security, la situation est loin d’être idéale. Les chercheurs de l’entreprise ont analysé un échantillon de 73 324 ordinateurs frappés de la pomme et ont découvert que 4,2 % d’entre eux ne possèdent pas l’EFI qu’ils sont pourtant censés avoir, avec des conséquences potentiellement sérieuses.

La plus vieille faille aura bientôt trois ans

Apple n’a guère d’excuse car les vulnérabilités en question ont fait l’objet de nombreuses publications. Plus que les brèches elles-mêmes, ce sont bien les attaques existantes qui posent problème. Souvenez-vous : en janvier 2015, Thunderstrike permettait d’implanter un bootkit dans la machine en passant par un accessoire Thunderbolt spécialement modifié. Il « suffisait » en fait de modifier l’Option ROM (firmware) du périphérique.

Sept mois plus tard, rebelote : Thunderstrike 2 apparaît. Elle contourne la protection (en théorie) diffusée dans une mise à jour via un email frauduleux ou un site web malveillant. Résultat, le Mac est quand même infecté par un bootkit, un type de malware particulièrement difficile à supprimer.

Et comme si la situation n’était déjà pas assez confuse, les publications de WikiLeaks sur les outils de la CIA ont montré à plusieurs reprises que l’agence américaine s’intéressait de près aux produits Apple. C’était notamment le cas avec Sonic Screwdriver, qui nécessitait (comme souvent avec les cyberarmes de la CIA) un accès physique à la machine.

La situation varie fortement selon la combinaison matériel/logiciel

Dès lors, on ne comprend pas pourquoi tous les Mac encore supportés ne disposent pas tous d’un EFI à jour et corrigeant ces problèmes connus. Car c’est bien là le constat de Duo Security : selon l’ordinateur, la version de l’EFI n’est pas la même.

47 modèles de Mac sont ainsi vulnérables à la première version de Thunderstrike, 31 à la deuxième version de l’outil malveillant. Pire selon Duo Security, au moins 16 modèles n’ont pas reçu le moindre nouvel EFI durant toute cette période. Tout aussi étrange, 43 % des iMac de fin 2015 testés n’avaient pas la bonne version du firmware, alors que la détection et l’installation par les serveurs d’Apple est censée être automatique. Il est même arrivé que deux Mac identiques (même modèle et même version de macOS) n’aient pas le même firmware.

En tout, 4,6 % des Mac testés sont considérés comme totalement vulnérables aux attaques connues, sans que l'on sache pourquoi les différentes versions de macOS n'ont pas mis à jour l'EFI. Disposer de la dernière version de macOS ne garantit donc pas l’EFI le plus récent, selon le Mac.

La drôle de réponse d’Apple

Pour une fois, la société n’est pas restée silencieuse devant le problème soulevé par Duo Security. Dans une simple déclaration, elle indique : « Nous apprécions le travail de Duo sur ce problème à l’échelle de toute l'industrie […]. Apple continue de travailler rapidement sur la sécurité des firmwares […]. Afin de fournir une expérience plus sûre et sécurisée dans ce domaine, macOS High Sierra valide automatiquement le firmware des Mac chaque semaine ».

Il s’agit certes d’un point soulevé dans notre article récent sur le nouveau système d’exploitation. Mais cette réponse est pour le moins à côté de la plaque. L’outil intégré inspecte bien l’intégrité de l’EFI et signale à l’utilisateur s’il a été modifié, avec possibilité d’envoyer le rapport à Apple. Deux problèmes cependant.

D’une part, rien n’est dit sur les actions concrètes qui seront menées en cas de problème détecté. D’autre part – et c’est le plus important – la situation actuelle souligne surtout l’âge des firmwares. Or, l’outil n’est pas fait pour remarquer qu’un EFI est trop ancien, seulement pour avertir en cas de modification tierce.

Sur ce point, Apple ne dit rien, comme nos confrères d’Ars Technica ont pu s’en apercevoir.

Danger potentiel : une question de perspective

Le risque réellement encouru par les utilisateurs est difficilement mesurable, et c’est peut-être la raison pour laquelle Apple ne se presse pas. Dans la plupart des cas, l’attaque nécessite un accès physique à la machine, ce qui rend pour beaucoup le danger très relatif.

Mais ce serait un peu vite oublier que les Mac ne sont pas forcément utilisés que par le grand public. Un ordinateur d’entreprise peut contenir des données sensibles, comme des secrets industriels. Que dire du travail d’un journaliste ou d’un activiste des droits de l’homme dans une dictature ou plus simplement dans un pays où la liberté d’expression est soigneusement contrôlée ?

Ce serait tout autant oublier que les multiples publications de WikiLeaks ont montré que la CIA (et donc plus globalement les agences de renseignements) travaille sur des techniques permettant de prendre possession de certaines catégories d’appareils. Elle a développé nombre d’outils requérant un accès physique à la machine. Une condition qui ne pose donc aucune difficulté pour elle.

Par ailleurs, l’EFI n’est pas spécifique à Apple, comme le rappelle aussi Duo Security. Les chercheurs indiquent s’être concentrés sur les Mac car le constructeur dispose d’une situation plutôt unique, d’où il peut contrôler l’intégralité des éléments matériels et logiciels. Il déploie notamment les nouveaux firmwares de la même manière que les autres correctifs et nouvelles versions des applications, via le Mac App Store. La menace pèse cependant tout autant sur les PC.

Duo Security travaille actuellement sur un outil open source nommé EFIgy. Il n’est pour l’instant pas prêt mais sera prochainement publié sur le dépôt GitHub de l’entreprise. Visant macOS, il pourra indiquer si la machine dispose du dernier firmware.

Mettre à jour, mettre à jour, mettre à jour...

Plus généralement, le problème souligné par Duo rappelle l’éternelle consigne de l’informatique : toujours maintenir à jour le système et les applications. De nombreux soucis de sécurité auraient pu être évités si les correctifs avaient été installés en temps et en heure… pour peu qu’ils soient réellement disponibles.

De la même manière que des attaques comme celles de Mirai mettent en évidence le manque de rigueur chez les constructeurs d’objets connectés, l’étude de Duo aura au moins le mérite de braquer les projecteurs sur un aspect moins connu des ordinateurs au sens large : la version de l’EFI.

En attendant, la consigne des chercheurs est assez simple : mettre à jour le Mac vers la dernière révision possible de macOS, idéalement High Sierra.

Commentaires (63)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pfff je voulais briller avec ma réponse mais tu as été plus rapide de 10s. Merci <img data-src=" /> <img data-src=" /> <img data-src=" />









<img data-src=" />

votre avatar

C’est LA solution pour la mise à jour de firmware. Soit tu as deux flash (ou autre), Soit tu découpe ta flash en deux.&nbsp;

votre avatar

En même temps, quand je vois le nombre de personnes qui ne veulent surtout jamais mettre à jour leur système ou leur applications avec le fameux «&nbsp;si ça marche, pourquoi mettre à jour ??&nbsp;»

votre avatar







ErGo_404 a écrit :



Le mécanisme de double bios existe depuis bien longtemps sur PC





C’est le cas ailleurs aussi. Genre dans les Freebox Révolution.


votre avatar

C’est surtout le cas des vieux et mauvais informaticiens, je pense que le mécanisme des mises à jour est bien rentré dans les moeurs avec les Play/App Stores.

votre avatar

Chat échaudé craint l’eau froide car certaines M.A.J. peuvent bien te pourrir une prod : de sinistre mémoire, apple nous avait pondu une déclinaison de Snow Leopard&nbsp; (la 10.0.7 si je ne me trompe) qui ne nous permettait plus d’imprimer sur notre copieur Xerox <img data-src=" />

Juste pour dire qu’il y a des fois où c’est bien d’attendre un peu pour voir comment se comporte une “nouveauté” et si ses avantages sont supérieurs à ses inconvénients.

votre avatar







brazomyna a écrit :



C’est le cas ailleurs aussi. Genre dans les Freebox Révolution.





Oui mais ça coûte cher, l’implémentation d’une puce Flash/ROM supplémentaire sur la carte doit coûter quelque-chose comme 1 ou 2 € pièce et nécessite un peu de développement sur la carte mère pour considérer l’autoswitch (auto-diagnostic du firmware corrompu).



Free a du juger que le risque de flinguer 2 à 5% de ses box (que la société possède) à chaque mise à jour firmware justifiait l’investissement de cette somme.

Or, Apple vendant ses machines, ils en ont à priori rien à battre. Si la carte mère tombe HS en raison d’un firmware corrompu (mal passé) , ce n’est pas Apple qui paiera mais l’utilisateur..


votre avatar

Est-ce que le risque ne serait pas accru car contrairement au BIOS qui est entièrement en mémoire ROM (mais réinscriptible, paye ton Read Only), une partie de l’EFI est sur le disque dur, sur une partition FAT32.

ça pourrait permettre de mettre un bootkit beaucoup plus facilement aussi.

votre avatar







Calvi VI a écrit :



Chat échaudé craint l’eau froide car certaines M.A.J. peuvent bien te pourrir une prod : de sinistre mémoire, apple nous avait pondu une déclinaison de Snow Leopard&nbsp; (la 10.0.7 si je ne me trompe) qui ne nous permettait plus d’imprimer sur notre copieur Xerox <img data-src=" />

Juste pour dire qu’il y a des fois où c’est bien d’attendre un peu pour voir comment se comporte une “nouveauté” et si ses avantages sont supérieurs à ses inconvénients.





Merci Cptain Obvious.


votre avatar

C’est déjà arrivé a qqun ici de bricker un PC ?

Honnêtement j’ai dû flasher des BIOS, des EFI, des microcontrôleurs, des flash en tous genre, des smarts, des microcontrolleurs industriels, etc., au bas mot un bon millier de fois, si pas bcp plus, et JAMAIS un souci.

Alors je sais qu’une expérience n’est pas représentative, mais quand même…

votre avatar

Le problème des mises à jour c’est aussi que le matériel tout en étant parfaitement fonctionnel ne suit pas forcément. Apple est le champion dans le domaine.

votre avatar

Ils devraient s’en inquiéter car ils fournissent une garantie.

Moins de retour garantie, moins de coûts.

votre avatar







Ghimo a écrit :



En même temps, quand je vois le nombre de personnes qui ne veulent surtout jamais mettre à jour leur système ou leur applications avec le fameux « si ça marche, pourquoi mettre à jour ?? »







Pour la plupart des gens les appareils informatiques sont des outils. Tout ce que ces gens demandent c’est que l’outil fonctionne quand ils en ont besoin. Ca explique leurs réticences à modifier un appareil qui est fonctionnel.



De même, est-ce que tu mettrais à jour ton ordi (bios/efi+os+drivers) 10 minutes avant de faire une présentation powerpoint professionnelle ou faire un partie de MMORPG prévue de longue date, alors que cet ordi est parfaitement fonctionnel ?


votre avatar

c’est plus un problème de timing que de refus catégorique. c’est comme filezilla: il ne te demande de le mettre à jour que quand tu le lances, et on le lance que quand on en a besoin, donc pas le temps de faire la mise à jour…

votre avatar

A partir du moment où l’outil informatique t’intéresse uniquement quand tu en as besoin, tu ne t’occupes pas de le mettre à jour “plus tard” (= quand tu n’en a plus besoin).



Exemple: c’est quand la dernière fois que tu as affuté ta paire de ciseaux de bureau ?

votre avatar

Ils sont plus souvent remplacés ou perdus qu’affûtés…

votre avatar

La partie introductive contient effectivement une erreur technique grossière.

Les machines à base de PowerPC utilisaient openfirmware comme logiciel de boot, un truc développé à la base par Sun

fr.wikipedia.org WikipediaIl me semble qu’il avait même été question de le porter sur x86 un moment pour tuer l’antique bios, avant qu’intel dégaine l’EFI comme remplacement.

En tout cas, hors prototypes internes de build d’Apple et peut-être quelques hackintosh il y a pas de mac avec un BIOS au sens strict du terme, ils sont tous directement sortis sous EFI

votre avatar







heret a écrit :



je ne vais pas le dire gentiment parce que j’en ai plus que marre que des incultes diffusent leur ignorance sur Internet et simplifier au point de mentir n’est pas une solution.





https://www.dulcolax.com/laxatives.html <img data-src=" />


votre avatar

vu que le Mac est un Unix, c’est moins flagrant de passer de Mac à Linux que de Windows à Linux.

Et le matos Mac étant assez uniforme, il est facile de le supporter sur Linux, pour peu que les drivers soient dispos.

Mais oui, personne le fera.

votre avatar

moins flagrant en cli oui, en gui c’est quand même un peu plus flagrant (déjà on a le choix ^^)

votre avatar







Drepanocytose a écrit :



C’est déjà arrivé a qqun ici de bricker un PC ?

Honnêtement j’ai dû flasher des BIOS, des EFI, des microcontrôleurs, des flash en tous genre, des smarts, des microcontrolleurs industriels, etc., au bas mot un bon millier de fois, si pas bcp plus, et JAMAIS un souci.

Alors je sais qu’une expérience n’est pas représentative, mais quand même…



Ca m’est arrivé. En 2000 (micro-coupure d’électricité durant le flash…) et en 2002 (à cause d’une carte graphique foireuse qui supprimait je ne sais comment le BIOS de la carte mère).


votre avatar

et au passage une bidouille pour mettre à jour l’EFI sans passer à High Sierra <img data-src=" />



http://macbidouille.com/news/2017/10/03/flasher-le-firmware-dun-mac-sans-le-pass…

votre avatar

Et bien ça se voit que tu gères pas des SI avec 50 macintosh :/



Il existe des environnements professionnels ou le setup du logiciel métier est aux petits oignons, et foutre en l’air ce travail en mettant à jour le système juste par ce que “oh regarde je peux parler avec Siri maintenant” c’est juste pas possible.



Mieux encore, avoir une machine fonctionnant parfaitement sous OSX 10.1010.11 et la voir devenir une brouette sous 10.12…. A 3000€ la bécane tu vas avoir du mal à faire passer ça en entreprise.



Voir qu’il utilise la même stratégie entre un téléphone (iOS même combat) et un ordinateur c’est pour moi du grand n’importe quoi.



Nous sortir un OS différents tous les ans avec 3 options supp. et que la jeune génération d’informaticien trouve ça normal me dépasse un peu je dois avouer.



Mais bon ça fait fonctionner le capitalisme alors réjouissons nous&nbsp; :)

votre avatar

Où est la différence entre sortir un OS tous les ans avec relativement peu de changements ou un OS tous les trois ans qui casse tout ? Dans un cas tu évolues au fur et à mesure et le travail n’est pas énorme pour migrer, dans l’autre tu dois remettre en question tous tes outils tous les 3 ans.

Je pense que c’est le rythme Windows pré-8 d’une mise à jour tous les 5 ans qui perturbe tous les SI et qui font qu’ils ne sont toujours pas à jour (et donc vulnérables !) parfois 3 ou 4 ans après la sortie des nouveaux OS.



Une mise à jour logicielle ça peut casser des choses et c’est toujours bien d’attendre un peu, mais chez beaucoup de services le “un peu” devient rapidement “un an, deux ans”, souvent faute de temps ou de moyens, et ça, c’est ce qui met en danger toutes nos données comme on peut le voir régulièrement avec les fuites de millions de données clients.

votre avatar







jb18v a écrit :



et au passage une bidouille pour mettre à jour l’EFI sans passer à High Sierra <img data-src=" />



http://macbidouille.com/news/2017/10/03/flasher-le-firmware-dun-mac-sans-le-pass…







De la bonne bidouille, comme on aime ! <img data-src=" /> <img data-src=" /> <img data-src=" />


votre avatar

Je comprends ce que tu veux dire mais il faut toujours que la sécurité soit en accord avec la réalité.



Regarde donc le commentaire de jb18v











jb18v a écrit :



et au passage une bidouille pour mettre à jour l’EFI sans passer à High Sierra <img data-src=" />



http://macbidouille.com/news/2017/10/03/flasher-le-firmware-dun-mac-sans-le-pass…&nbsp;&nbsp;&nbsp;







C’est à Apple de nous fournir les outils pour flasher les EFI unilatéralement sans passer par un changement d’OS ! Cela doit être notre choix admin de combler les failles avec des outils approprier sans changer fondamentalement l’architecture de ton réseau informatique.



Mais non, il faut que la communauté bidouille pour combler leur lacune (ou leur soif de $$$$)


votre avatar

Le script est disponible <img data-src=" />



voila ce que ça donne pour mon Imac 27 mi 2011:

&nbsp;

python EFIgyLite_cli.py



EFIgyLite API Information:

&nbsp;&nbsp;&nbsp; API Version: 0.2

&nbsp;&nbsp;&nbsp; Updated On: Oct 3 2017, 16:44





Enumerated system informaton (This data will be sent to the API in order to determine your correct EFI version):

&nbsp;&nbsp;&nbsp; Hashed SysUUID&nbsp;&nbsp; : 128764cadbaf1a750f3f49d5cc72ff2a19b44c277345133065622b95a1cc6e54

&nbsp;&nbsp;&nbsp; Hardware Version : iMac12,2

&nbsp;&nbsp;&nbsp; Boot ROM Version : IM121.0047.B29

&nbsp;&nbsp;&nbsp; SMC Version&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 1.72f2

&nbsp;&nbsp;&nbsp; Board-ID&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : Mac-942B59F58194171B

&nbsp;&nbsp;&nbsp; OS Version&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; : 10.12.6

&nbsp;&nbsp;&nbsp; Build Number&nbsp;&nbsp;&nbsp;&nbsp; : 16G29



[?] Do you want to continue and submit this request? [Y/N]&nbsp; y



EFI firmware version check:

&nbsp;&nbsp;&nbsp; [+] SUCCESS - The EFI Firmware you are running (IM121.0047.B29) is the expected version for the OS build you have installed (16G29) on your iMac12,2



Highest build number check:

&nbsp;&nbsp;&nbsp; [+] SUCCESS - You are running the latest build number (16G29) of the OS version you have installed (10.12.6)



Up-to-date OS check:

&nbsp;&nbsp;&nbsp; [+] SUCCESS - You are running the latest major/minor/micro version of the OS you have installed (10.12.6)

votre avatar







Minikea a écrit :



Est-ce que le risque ne serait pas accru car contrairement au BIOS qui est entièrement en mémoire ROM (mais réinscriptible, paye ton Read Only), une partie de l’EFI est sur le disque dur, sur une partition FAT32.

ça pourrait permettre de mettre un bootkit beaucoup plus facilement aussi.





Le BIOS est depuis au moins 25 ans sur EEPROM, donc réinscriptible de façon logicielle. La dernière fois que j’ai changé la puce pour upgrader mon BIOS, c’était en 1988.


votre avatar







Ghimo a écrit :



En même temps, quand je vois le nombre de personnes qui ne veulent surtout jamais mettre à jour leur système ou leur applications avec le fameux «&nbsp;si ça marche, pourquoi mettre à jour ??&nbsp;»





Moi je vois des constructeurs qui recommandent de ne pas mettre à jour. J’ai une carte-mère Intel où, quand tu vas sur la page de téléchargement de nouveaux BIOS, on te dit : ne mettez à jour que si vous rencontrez un bug qui est listé comme corrigé dans le changelog, sinon ne mettez pas à jour.

&nbsp;


votre avatar

La flash cela ne coûte pas aussi cher, surtout avec les quantités vendues par Apple. On parle ici de quelques centimes… Et la R&D tu ne la fait pas 10 fois, tu réutilise plus ou moins le bloc existant à chaque nous PC, et franchement au vue des marges et du nombre de vente, la R&D d’une telle chose est tellement négligeable…

votre avatar

Oui on est d’accord la mise à jour de l’EFI doit être indépendante de l’OS.

Et les mises à jour de sécurité doivent continuer sur un ancien OS même après la sortie du nouveau, mais ça, c’est déjà le cas.

votre avatar

Pardon ?

Quand je peux effacer le disque, installer linux sur une mono partition ext4 comme un connard avec une partition efi qui fait exactement la taille de grub sans soucis, à quel moment la carte mère à besoin d’un périphérique de stockage pour fonctionner ?

votre avatar

T’as déjà eu une coupure de courant pendant l’opération ?

votre avatar

Ce sont des outils et tout outil requiert maintenance tôt ou tard.

votre avatar

niveau de privilège -2 : Sur les processeur x86/x64, il n’existe que 4 niveau de privilège : 0 à 3.0 pour le bas (en général le noyau) et 3 pour le plus haut (en général les applications).



Au-delà de ces 4 niveaux, je n’ai pas à ma connaissance de documentation (ni d’Intel, ni d’AMD) faisant étant d’autres niveaux privilèges.

votre avatar

Quelle différence entre le 3.0 et le 3 ? <img data-src=" />

votre avatar

Coquille de ma part, il manque l’espace entre “3.” et “0”:

Il n’existe que 4 niveau de privilège : “0” à “3”. le niveau “0” pour le bas (en général le noyau) et le niveau “3” pour le plus haut (en général les applications).&nbsp;

votre avatar

salut

euh l’efi remplace l’open firmware des ppc…pas le bios. autant dire pas forcément la meilleure chose mise en place ces dernières années :/

votre avatar

bah au moment où tu dis “partition pour l’EFI sur le disque dur”. ce n’est que pour faire le lien entre l’EFI à proprement parlé et grub mais c’est un vecteur d’attaque assez facile à accéder.

votre avatar

Avec ce genre de merdes :en.wikipedia.org WikipediaEt on considère qu’un hyperviseur qui fait tourner des noyaux en Ring 0 se situe en Ring -1

votre avatar

Firmware ??

&nbsp;Bah parle français on te comprendra mieux et cela fera moins péteux.

En bon français dans la langue de ma mère on dit&nbsp; micro logiciel.

Inutile de spécifier qu’ il est sur une disquette, un disque dur ou du silicium reprogrammable.

Parce que cela ne change rien à son statut de fait de “micrologiciel” et que n’ importe quel constructeur a le droit de le placer où bon lui semble que ce soit sur une mémoire électronique reprogrammable, une disquette même si la fiabilité n’ est pas la meilleure ou un disque dur comme sur ma carte mère ASUS en cas de plantage …..

Le micrologiciel de la machine se trouve sur une mémoire électronique uniquement parce qu’ on a pas trouvé de support mémoire plus fiable actuellement avec un rapport encombrement/ consommation d’ énergie plus favorable.

votre avatar







Strimy a écrit :



Avec ce genre de merdes :en.wikipedia.org WikipediaEt on considère qu’un hyperviseur qui fait tourner des noyaux en Ring 0 se situe en Ring -1





Au delà des modes de gestion d’énergie et autres (merci à Vincent pour les infos sur les appellations des niveaux “négatifs” venant des modes SMM, SPI et VMM), les documents officiels Intel et AMD ne font état que de 4 niveaux de privilèges : [0;3].



&nbsp;


votre avatar

Tu peux remplacer/ajouter/effacer des fichiers .efi qui servent à démarrer un système, ça ne change pas l’ordre de démarrage parce que tu ajoutes un fichier .efi, le fichier .efi fraîchement ajouté est juste ignoré tant qu’il n’a pas été réclamé par l’utilisateur, sauf si le démarrage a été codé avec le cul.

votre avatar

Mais ce sont des technologies qui tournent à des niveaux de privilèges supérieurs aux autres rings. Les hyperviseurs tournent bien en dessous des machines virtuelles, et peuvent altérer le fonctionnement des VM qui sont en Ring 0, d’où cette numérotation négative. D’autant plus qu’ils sont complètement invisibles pour les ring supérieur.



Si Intel ou Amd n’ont pas nommé ça comme ça, ça fait plus de 10 ans que les spécialistes appellent déjà “Ring -1” les instructions de virtualisations.

votre avatar







Minikea a écrit :



vu que le Mac est un Unix Un*x, c’est moins flagrant de passer de Mac à Linux que de Windows à Linux.

Et le matos Mac étant assez uniforme, il est facile de le supporter sur Linux, pour peu que les drivers soient dispos.

Mais oui, personne le fera.





<img data-src=" />





<img data-src=" />


votre avatar



Elle dispose d’un avertissement particulier, mettant bien en garde

l’utilisateur contre la mise hors tension pendant l’opération. Une

précaution valable depuis qu’un BIOS peut être mis à jour.





J’ai jamais bien compris ça : C’est si difficile d’avoir deux versions en parallèle, l’actuelle et la nouvelle ? Si la nouvelle n’est pas fonctionnelle pour X raisons, il suffit de booter sur l’ancienne non ? Avant quand les ressources étaient très limités je peux comprendre que ce n’était pas envisageable, mais de nos jours ça me paraît faisable.

votre avatar

Le mécanisme de double bios existe depuis bien longtemps sur PC, pour pallier justement aux problèmes lors des mises à jour. Il ne devrait pas être trop compliqué pour Apple de faire la même chose avec deux EFI. Il serait alors possible de mettre à jour l’EFI de manière transparente, sans que cela ne pose de problème à l’utilisateur s’il venait à redémarrer ou éteindre sa machine pendant la procédure.

votre avatar

Exactement, tout comme le sont les PC/Smartphone pour les gens qui utilisent ces appareils comme des outils.



Je pourrais prendre l’exemple des téléphones de bureau genre alcatel ou les imprimantes ou les téléviseurs… Même un moniteur de PC à un firmware. Et pourtant c’est le genre d’appareil qu’on ne met pas à jour et qu’on utilise jusqu’à la panne fatidique qui nécessitera son remplacement

votre avatar

On est arrivés à une époque où tout a un firmware quand c’est plus compliqué qu’un interrupteur.

Parce que c’est moins cher une puce à programmer que de faire un autre système dès qu’il dépasse la complexité de l’interrupteur.

votre avatar







Drepanocytose a écrit :



C’est déjà arrivé a qqun ici de bricker un PC ?

Honnêtement j’ai dû flasher des BIOS, des EFI, des microcontrôleurs, des flash en tous genre, des smarts, des microcontrolleurs industriels, etc., au bas mot un bon millier de fois, si pas bcp plus, et JAMAIS un souci.

Alors je sais qu’une expérience n’est pas représentative, mais quand même…







Parce que tu l’as toujours fait avec compétence et attention. Et t’as certainement jamais d’avarie électrique en plein milieu d’une MAJ non plus :)


votre avatar



Que dire du travail d’un journaliste ou d’un activiste des droits de l’homme dans une dictature ou plus simplement dans un pays où la liberté d’expression est soigneusement contrôlée&nbsp;?





Ben… abandonne les macs pour Linux, ça sera sans doute mieux… et tu paraîtras un peu moins péteux et un peu plus sérieux.(&nbsp;<img data-src=" />… ou pas)

&nbsp;

<img data-src=" />

&nbsp;

votre avatar







js2082 a écrit :



Ben… abandonne les macs pour Linux, ça sera sans doute mieux… et tu paraîtras un peu moins péteux et un peu plus sérieux.(&nbsp;<img data-src=" />… ou pas)

&nbsp;

<img data-src=" />

&nbsp;





Si Troll, car ça suppose que les journalistes sont compétent avec les outils informatiques et qu’ils ont le temps de choisir un PC bien supporté par Linux puis de virer Windows pour mettre Linux….


votre avatar

exactement.

du coup, si les mises à jour ne sont pas automatiques (comme firefox/chrome) elles ne sont pas faites, ou trop rarement

votre avatar

les journalistes sont sur mac.

votre avatar







Minikea a écrit :



les journalistes sont sur mac.





Merci de rétablir la vérité


votre avatar

c’est pas difficile, c’est juste plus cher. Tu ne voudrais quand même pas que Apple diminue sa marge de quelques centimes sur chaque Mac vendu, si?

votre avatar

Pas à moi perso, mais je sais que ça arrivait de temps en temps à des mecs qui flashaient le bios de leur CM depuis Windows XP, tout en faisant autre chose en même temps, qui finissait par planter Windows… je te laisse imaginer la suite…

votre avatar

Mon raisonnement est différent entre un pc et un Mac dans le cas d’un passage sur Linux et seulement Linux?

votre avatar



L’EFI remplace le BIOS dans les Mac depuis le passage d’Apple aux processeurs Intel en 2006



J’ai arrêté de lire là, parce que c’est l’envolée des incultes !

Il n’y a jamais eu de BIOS dans Macintosh pour la simple et bonne raison que Macintosh n’hérite pas de CP/M contrairement aux PC.

BIOS n’est pas synonyme de firmware. Il y a très longtemps, entre 1982 et 1984, j’ai utilisé une machine qui chargeait le BIOS depuis une disquette.

votre avatar



Dès lors, on ne comprend pas pourquoi tous les Mac encore supportés ne

disposent pas tous d’un EFI à jour et corrigeant ces problèmes connus.





Si il y a des utilisateurs comme mon parrain, ça ne sera jamais à jour (ni l’EFI ni quoi que ce soit d’autre).

&nbsp;



En attendant, la consigne des chercheurs est assez simple&nbsp;: mettre à

jour le Mac vers la dernière révision possible de macOS, idéalement High

Sierra.





Ce qui peut sembler simple à la plupart ne l’est pas pour tout le monde. <img data-src=" />

votre avatar

Tu peux aussi le dire gentiment, et comprendre que des fois, on simplifie le propos, car c’est pas le sujet de l’article…

votre avatar

je ne vais pas le dire gentiment parce que j’en ai plus que marre que des incultes diffusent leur ignorance sur Internet et simplifier au point de mentir n’est pas une solution.

votre avatar







Ghimo a écrit :



En même temps, quand je vois le nombre de personnes qui ne veulent surtout jamais mettre à jour leur système ou leur applications avec le fameux «&nbsp;si ça marche, pourquoi mettre à jour ??&nbsp;»





Pour certains, même si ça bugge régulièrement… <img data-src=" />

&nbsp;


EFI vulnérables dans les Mac : quand l’intégration verticale ne fait pas tout

  • Des versions anciennes et différentes selon les Mac

  • La plus vieille faille aura bientôt trois ans

  • La situation varie fortement selon la combinaison matériel/logiciel

  • La drôle de réponse d’Apple

  • Danger potentiel : une question de perspective

  • Mettre à jour, mettre à jour, mettre à jour...

Fermer