C'est une faille qui traîne apparemment depuis longtemps sur Mac, et qui n'a été corrigée que cette semaine, après la sortie de macOS 10.12.2.
Avant ce patch, le Mac ne cachait pas assez son mot de passe FileVault. En effet, il était possible de brancher un dispositif en Thunderbolt capable de lire en mémoire votre clef secrète, permettant d'accéder aux données du disque chiffré. La technique utilisée est dite du Direct Memory Access (DMA), en clair, d'un accès direct à la mémoire, autorisé depuis le Thunderbolt.
Pour que cela fonctionne, il faut un accès physique à la machine, mais aussi que cette dernière soit en veille ou sur l'écran verrouillé. Avec un dispositif Thunderbolt, il est ensuite possible de lire le contenu de la mémoire où se trouve le mot de passe... stocké en clair.
La technique (décrite ici) est simplissime, même si elle nécessite à la fois d'avoir le Mac à disposition et du matériel spécifique. Mais elle est rapide et peu invasive, ce qui permet potentiellement de consulter le contenu de l'ordinateur sans laisser de trace.
Depuis macOS 10.12.2, cette faille a été désactivée par Apple et l'on ne peut que s'en réjouir.
