Comme les ordinateurs sous Windows, les machines sous Mac sont exposées à divers périls. Le dernier en date a été révélé au cours d'une conférence de hackers. Baptisé Thunderstrike, il s'agit d'un bootkit qui infecte les ordinateurs Mac et s'avère très difficile à détecter et à retirer.

Malgré la communication d'Apple vantant la robustesse de ses produits face aux logiciels malveillants, les ordinateurs fonctionnant sous Mac ne sont pas invulnérables. Leur apparente résistance face à ces périls provient surtout du fait qu'ils constituent une cible moins attrayante, les individus mal intentionnés préférant concentrer leurs efforts sur les écosystèmes les plus courants, comme Windows.

THUNDERSTRIKE, UN BOOTKIT REDOUTABLE

Des programmes néfastes existent pourtant, comme par exemple Flashback et WireLurker, et des vulnérabilités sont parfois révélées au cours de conférences dédiées au hack ou à la sécurité informatique. C'est de cette façon que "Thunderstrike" a été présentée. En effet, cette vulnérabilité a été présentée une première fois en décembre au cours du Chaos Communication Congress par Trammell Hudson.

Dans le compte-rendu produit par Ars Technica, il est expliqué que Thunderstrike est en mesure de contaminer un ordinateur Mac au moment de la séquence d'allumage, lorsqu'un périphérique externe contenant le logiciel malveillant est branché sur le port Thunderbolt de la machine (d'où son nom). Une Option ROM est alors injectée dans l'interface micrologicielle extensible unifiée (EFI).

À ce moment-là, l'Option ROM remplace la clé de chiffrement RSA utilisée par Apple pour signer les firmwares autorisés et vérifier que seuls ceux-ci sont bien installés. Dupé, l'ordinateur poursuit alors son démarrage normalement, sans savoir qu'il est en réalité infecté par Thunderstrike.

Selon nos confrères, l'attaque reprend en fait une méthode d'attaque qui avait été présentée au cours de la conférence BlackHat de 2012, en l'améliorant. Il est extrêmement difficile de supprimer Thunderbolt, dans la mesure où ni le formatage ni une réinstallation du système d'exploitation ne seront efficaces. Par ailleurs, il serait impossible de repérer une machine infectée.

UNE DANGEROSITÉ A RELATIVISER

Malgré la dangerosité évidente de Thunderstrike, ce bootkit ne constitue pas a priori une menace immédiate pour les usagers sous Mac

D'abord parce qu'il n'y a aucune preuve de l'existence d'une campagne de contamination qui laisserait à penser que ce logiciel est en train de se propager. En effet, il faut avoir un accès physique à la machine cible pour pouvoir brancher un périphérique sur le port Thunderbolt et commencer l'infection. De fait, 'exposition au risque est très limitée pour un particulier.

Ensuite, parce qu'Apple a d'ores et déjà commencé à régler partiellement le problème. Comment ? En empêchant le chargement de l'Option ROM pendant la mise à jour du firmware. Selon Trammell Hudson, cette tactique fonctionne contre la méthode qu'il a découverte. Elle est d'ores et déjà en cours de déploiement sur les machines du constructeur.

Trammell Hudson précise toutefois qu'un correctif complet sera tôt ou tard indispensable pour régler certains cas de figure qui pourraient apparaître, comme l'installation d'une version vulnérable du firmware ou un retour vers une mouture antérieure de Mac, même s'ils semblent très peu probables. De plus, Trammell Hudson n'écarte pas l'éventualité d'une adaptation du bootkit afin qu'il puisse attaquer une machine à distance, sans avoir besoin d'un accès physique.

( photo : CC BY-NC-ND Quattro Vageena )

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.