Thunderstrike, le bootkit pour OS X qui exploite la connexion Thunderbolt
Broke all the rules, played all the fools
OS X a depuis peu son premier bootkit. Nommé Thunderstrike, il utilise la connexion Thunderbolt d’un Mac pour glisser un code malveillant directement dans la ROM de démarrage de la machine. De là, il peut prendre le contrôle d’un grand nombre d’actions et glisser un ou plusieurs malwares dans OS X. Les chances d’infection sont faibles, mais réelles.
Un bootkit difficile à déloger
Un bootkit est un genre de rootkit qui, comme son nom l’indique, s’inscrit dans la procédure de démarrage de la machine. Il se charge avant le système d’exploitation et peut se révéler délicat à débusquer et supprimer. Si OS X avait échappé à ce type de menace jusqu’à présent, ce n’est plus le cas depuis environ deux semaines, quand le chercheur Trammell Hudson a démontré l’efficacité de son Thunderstrike à la conférence Chaos Computer Club, le 31 décembre dernier.
Thunderstrike est donc un bootkit, dont la particularité est de s’installer à travers une connexion Thunderbolt, donc depuis un périphérique déjà infecté. Kaspersky, qui est revenu sur la menace dans un billet publié hier soir, compare le logiciel malveillant à Ébola : impossible à attraper tant que la machine n’a pas été directement en contact avec un autre appareil infecté puisque la connexion Thunderbolt est obligatoire.
Thunderstrike profite d’une faille de sécurité dans les Mac pour s’installer. Une fois en place, il se charge avant le système et peut intercepter de nombreuses informations dans OS X. Il ne pourra par exemple pas accéder à des données chiffrées avec Filevault, mais rien ne l’empêche de charger un keylogger pour enregistrer toutes les frappes au clavier. Une fois en place, difficile de l’en déloger, et seul un écrasement de l’EFI semble pour l’instant fonctionner.
L'accès physique à la machine est obligatoire
La dangerosité de la menace est cependant compensée par son vecteur d’attaque, très restreint. Ainsi, un Mac posé chez vous et ne quittant jamais le domicile n’a que très peu de chances d’être infecté. Il faudrait pour cela qu’un tiers y branche par exemple un disque dur externe Thunderbolt déjà infecté. Initialement, l’attaque pourrait se répandre si des machines étaient laissées sans surveillance. Pour Brian Donahue de Kaspersky, on peut imaginer les forces de l’ordre profitant d’un examen lors d’un passage à la sécurité d’un aéroport pour glisser un bootkit de cette manière. Un écran Apple Thunderbolt contaminé dans un espace public ou un bureau d'entreprise pourrait tout autant servir d'agent propagateur.
Lors de sa présentation d’une heure à la conférence Chaos Computer Club, Trammell Hudson a indiqué que l’information avait bien entendue été remontée à Apple et qu’un correctif était en préparation, sous la forme d'un nouveau firmware. Toujours selon le chercheur, la situation n’est cependant pas réglée pour les MacBook qui, de par leur statut de portables, sont les machines les plus susceptibles d’être infectées.
Globalement, Thunderstrike ne devrait pas provoquer d’inquiétude outre mesure. Il ne s’agit pas d’une attaque classique dans laquelle il suffirait d’ouvrir un navigateur et de se rendre sur une page spécialement conçue. L’accès physique est, encore une fois, requis. Nul besoin donc de paniquer, même s’il ne faut pas pour autant laisser trainer son MacBook n’importe où. Tout du moins tant que le correctif n’est pas déployé par Apple.
Commentaires (28)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/01/2015 à 07h48
En somme je dirais : “c’est bien fait !”.
Le revers de la médaille du “Secure Boot” qu’on essaye de nous imposer pour enfermer les utilisateurs est que ce type de bootkit est extrêmement difficile à déloger, puisque en l’occurrence ça sécurise… le bootkit !
Une preuve de plus que ce bazar est une bien mauvaise idée.
Le 18/01/2015 à 13h05
Euh… Aucun rapport avec le secure boot là : il s’agit de rajouter du code dans l’UEFI, en utilisant les possibilités offertes par le bus PCI.
Après, oui, c’est détourné, et ça permet de remplacer du code existant, là est la faille : rien à voir avec le secure boot ; la dangerosité est directement liée à la sortie du bus PCI, qui autorise l’écriture directe en mémoire, potentiellement sans vérification de l’adresse à laquelle un périphérique PCI écrit.
Si vous avez peur lorsque vous connectez un ordi portable à un écran externe, utilisez votre sortie HDMI, ou l’adaptateur miniDP –> VGA/HDMI que vous avez toujours sur vous ;-)
Le 19/01/2015 à 08h45
J’aime beaucoup la news qui dit «il ne faut pas pour autant laisser
trainer son MacBook n’importe où».
Il me semble que celui qui laisse trainer son MacBook risque plutôt de ne pas le retrouver.
Le 19/01/2015 à 09h11
Le 19/01/2015 à 13h34
Le 21/01/2015 à 19h43
Si si ça a totalement rapport avec SecureBoot, même si ça s’appelle pas comme ça sur Mac, le principe est le même.
" />
En l’occurrence (si j’en crois ce que j’ai lu) ce qui rend difficile l’éradication du bootkit, c’est qu’il s’installe ET il change la clé de vérification du boot. Donc l’UEFI croit que ce qui est lancé au tout début est légitime, puisqu’il peut vérifier que la signature du bootloader correspond bien à la clé qu’il possède.
Exactement à 100% le mécanisme “Secure Boot”… l’arroseur arrosé !
Le 22/01/2015 à 08h10
Je ne suis pas d’accord sur ce point lié à Secure Boot : avec ou sans vérification du firmware, donc SecureBoot, la faille fonctionne.
Pouvoir remplacer la clef de vérification de SecureBoot est en effet une faille, mais elle n’est pas à l’origine du problème, comme un virus qui modifierait les fichiers des antivirus : le soft pense que c’est valide, mais avec ou sans antivirus, le système est infecté.
Le 22/01/2015 à 17h58
Tout à fait, avec ou sans le système est infecté.
" />
Mais ce qui rend précisément la faille difficile à éradiquer, c’est que la “clé de confiance” a aussi été changée, d’où le lien avec Secure Boot. Ce qui prouve, si besoin en était, que ça ne sécurise rien du tout… puisque désormais on a des bootkits qui savent très bien aussi changer la clé !..
Le 17/01/2015 à 08h50
Hmm donc avec un vidéoprojecteur dans une salle de réunion ça pourrait donner des résultats.
Enfin, s’il existe des vidéoprojecteurs avec cette connectique (?)
Le 17/01/2015 à 09h27
Cela reste une faille difficile à exploiter si il est nécessaire d’avoir un contact direct avec un périphérique thunderbolt contaminé.
" />
A moins que le matériel soit contaminé à la fabrication…
Par contre la partie injection par les forces de l’ordre ^^’
Ou comment véroler une machine pour une raison qui pourrait être détournée par des tiers
Le 17/01/2015 à 10h10
Avec un accès physique, les chances d’infection ne sont pas faibles mais proches de zéro.
Pas la peine de faire dans le sensationnel
Le 17/01/2015 à 10h16
Ils savent plus quoi faire pour faire des news.
Le 17/01/2015 à 10h34
Le 17/01/2015 à 10h53
Le 17/01/2015 à 11h21
La news est sensationnel ?
Pour moi c’est de l’information… sinon on serait au courant de rien.
Le 17/01/2015 à 11h57
On a deja vu du hardware infecté sortir des usines. Pourquoi pas des periphériques thunderbolt ?
En entreprise je crains la portée d’un truc du genre.
Faut voir comment mes utilisateurs ne se méfient pas en général et encore moins ceux qui utilisent des appareils Apple (“j’ai rien à craindre j’ai un Mac”).
Le 17/01/2015 à 12h27
Le 17/01/2015 à 13h54
Le 17/01/2015 à 14h24
Thunderstrike, le bootkit pour OS X qui exploite la connexion Thunderbolt
On ne peut pas faire titre plus descriptif et moins sensationnel que ça.
Le 17/01/2015 à 14h47
Le 17/01/2015 à 14h53
Après ça vient d’un Fan du seul gars au monde capable de dire qu’il est à la bourre a causes des embouteillage qui résultent de l’immigration 
" />
Le 17/01/2015 à 15h31
En tout cas, ça y est, on a enfin trouvé une utilité au Thunderbolt.
" />
Trop tard, je suis déjà parti –> []
Le 17/01/2015 à 15h34
Les connecteurs TB sont monnaie courante, mais les périphériques sont des accessoires onéreux. Ca sera limité en terme d’exploitation
Le 17/01/2015 à 16h12
Ca n’a rien de sensationnel ! La news est clairement informelle.
Aucun gros titre à l’horizon pour que ça y est, Mac est troué, vous pouvez le jeter ;)
Regarde Numérama ou d’autres…
Le 17/01/2015 à 18h20
Le 17/01/2015 à 18h36
titre Numérama = tempête dans un verre d’eau
Le 17/01/2015 à 22h41
Le 17/01/2015 à 23h34
Je suis d’accord. Heureusement que PCI a gardé la tête froide et parlé des évolutions de la loi.
Je pense que ceux qui parlent de tempête dans un verre d’eau sous-estiment le parc Apple/Thunderbolt.