Comme les ordinateurs sous Windows, les machines sous Mac sont exposées à divers périls. Le dernier en date a été révélé au cours d'une conférence de hackers. Baptisé Thunderstrike, il s'agit d'un bootkit qui infecte les ordinateurs Mac et s'avère très difficile à détecter et à retirer.

Malgré la communication d'Apple vantant la robustesse de ses produits face aux logiciels malveillants, les ordinateurs fonctionnant sous Mac ne sont pas invulnérables. Leur apparente résistance face à ces périls provient surtout du fait qu'ils constituent une cible moins attrayante, les individus mal intentionnés préférant concentrer leurs efforts sur les écosystèmes les plus courants, comme Windows.

THUNDERSTRIKE, UN BOOTKIT REDOUTABLE

Des programmes néfastes existent pourtant, comme par exemple Flashback et WireLurker, et des vulnérabilités sont parfois révélées au cours de conférences dédiées au hack ou à la sécurité informatique. C'est de cette façon que "Thunderstrike" a été présentée. En effet, cette vulnérabilité a été présentée une première fois en décembre au cours du Chaos Communication Congress par Trammell Hudson.

Dans le compte-rendu produit par Ars Technica, il est expliqué que Thunderstrike est en mesure de contaminer un ordinateur Mac au moment de la séquence d'allumage, lorsqu'un périphérique externe contenant le logiciel malveillant est branché sur le port Thunderbolt de la machine (d'où son nom). Une Option ROM est alors injectée dans l'interface micrologicielle extensible unifiée (EFI).

À ce moment-là, l'Option ROM remplace la clé de chiffrement RSA utilisée par Apple pour signer les firmwares autorisés et vérifier que seuls ceux-ci sont bien installés. Dupé, l'ordinateur poursuit alors son démarrage normalement, sans savoir qu'il est en réalité infecté par Thunderstrike.

Selon nos confrères, l'attaque reprend en fait une méthode d'attaque qui avait été présentée au cours de la conférence BlackHat de 2012, en l'améliorant. Il est extrêmement difficile de supprimer Thunderbolt, dans la mesure où ni le formatage ni une réinstallation du système d'exploitation ne seront efficaces. Par ailleurs, il serait impossible de repérer une machine infectée.

UNE DANGEROSITÉ A RELATIVISER

Malgré la dangerosité évidente de Thunderstrike, ce bootkit ne constitue pas a priori une menace immédiate pour les usagers sous Mac

D'abord parce qu'il n'y a aucune preuve de l'existence d'une campagne de contamination qui laisserait à penser que ce logiciel est en train de se propager. En effet, il faut avoir un accès physique à la machine cible pour pouvoir brancher un périphérique sur le port Thunderbolt et commencer l'infection. De fait, 'exposition au risque est très limitée pour un particulier.

Ensuite, parce qu'Apple a d'ores et déjà commencé à régler partiellement le problème. Comment ? En empêchant le chargement de l'Option ROM pendant la mise à jour du firmware. Selon Trammell Hudson, cette tactique fonctionne contre la méthode qu'il a découverte. Elle est d'ores et déjà en cours de déploiement sur les machines du constructeur.

Trammell Hudson précise toutefois qu'un correctif complet sera tôt ou tard indispensable pour régler certains cas de figure qui pourraient apparaître, comme l'installation d'une version vulnérable du firmware ou un retour vers une mouture antérieure de Mac, même s'ils semblent très peu probables. De plus, Trammell Hudson n'écarte pas l'éventualité d'une adaptation du bootkit afin qu'il puisse attaquer une machine à distance, sans avoir besoin d'un accès physique.

( photo : CC BY-NC-ND Quattro Vageena )

Partager sur les réseaux sociaux

Articles liés