Thunderstrike 2 : quand un adaptateur Thunderbolt peut répliquer un malware
Par Didier Pulicani - Publié le
En début d'année, une faille affectant le firmware des Mac avait fait grand bruit :
Deux chercheurs - Kovah, de LegbaCore, et Trammell Hudson- ont en fait affiné la technique pour créer un système de virus bien plus évolué, capable de se répliquer. Ils ont notamment repris des failles découvertes à l'origine sur PC en mars dernier, et qui fonctionnent parfaitement sur l'EFI du Mac.
Là où Thunderstrike nécessitait qu'on branche un appareil infecté sur le port Thunderbolt, cette nouvelle version permet apparemment d'installer un nouveau firmware à distance, via un e-mail et un lien vers un site vérolé. On n'en sait pas beaucoup plus sur la méthode, car les modalités exactes devraient être révélées cette semaine à Vegas. On imagine qu'il faudra un programme spécifique et un mot de passe utilisateur pour effectuer la mise à jour, ce qui constitue déjà un garde-fou acceptable pour l'utilisateur.
Le vers se réplique ensuite dans le firmware et est capable d'aller infecter d'autres appareils, comme les SSD ou de simples périphériques Thunderbolt. Par exemple, un adaptateur Ethernet dont l'
Apple, prévenue du problème, n'a toujours pas corrigé son EFI. La faille est pourtant connue depuis des mois, et l'on avait vu la firme plus réactive sur les questions de sécurité.
Thunderstrikeétait capable de s'injecter via un simple périphérique Thunderbolt connecté au Mac.
Deux chercheurs - Kovah, de LegbaCore, et Trammell Hudson- ont en fait affiné la technique pour créer un système de virus bien plus évolué, capable de se répliquer. Ils ont notamment repris des failles découvertes à l'origine sur PC en mars dernier, et qui fonctionnent parfaitement sur l'EFI du Mac.
Mac ou PC, ça reste des ordinateurs x86 !clame le chercheur.
Là où Thunderstrike nécessitait qu'on branche un appareil infecté sur le port Thunderbolt, cette nouvelle version permet apparemment d'installer un nouveau firmware à distance, via un e-mail et un lien vers un site vérolé. On n'en sait pas beaucoup plus sur la méthode, car les modalités exactes devraient être révélées cette semaine à Vegas. On imagine qu'il faudra un programme spécifique et un mot de passe utilisateur pour effectuer la mise à jour, ce qui constitue déjà un garde-fou acceptable pour l'utilisateur.
Le vers se réplique ensuite dans le firmware et est capable d'aller infecter d'autres appareils, comme les SSD ou de simples périphériques Thunderbolt. Par exemple, un adaptateur Ethernet dont l'
Option ROMest compromise, pourra aller à son tour, contaminer une autre machine de manière tout à fait transparente (comme dans la faille Thunderstrike 1). Dans certainement environnements critiques (centrale nucléaire, défense...), cela pourrait constituer une arme intéressante pour certains pirates pour espionner tout ce qui se passe sur un ordinateur critique. Pour l'utilisateur lambda, le risque reste néanmoins contenu.
Apple, prévenue du problème, n'a toujours pas corrigé son EFI. La faille est pourtant connue depuis des mois, et l'on avait vu la firme plus réactive sur les questions de sécurité.
