Une nouvelle faille découverte par F-Secure mettrait en danger presque tous les ordinateurs, portables comme de bureau, Mac et Windows, y compris si FileVault est activé.
Selon nos confrères de TechCrunch, la faille du firmware est liée au fait que presque toutes les machines Mac et Windows écrasent les données lorsqu’elles sont désactivées. Cette faille est basée sur une attaque dites cold boot, où les pirates informatiques tentent de voler des données sur un ordinateur hors tension.
Olle Segerdahl et Pasi Saarinen de F-Secure ont découvert une vulnérabilité au sein du firmware qui permet de désactiver l'effacement des données. Toutefois, les individus malveillant devront avoir un accès physique à la machine convoitée.
Cela demande quelques étapes supplémentaires, a déclaré Segerdahl, mais la faille est facile à exploiter. A tel point, a-t-il dit, qu'il serait vraiment très surpris que cette technique ne soit pas déjà connue par certains groupes de hackers. Segerdahl a également découvert que dans presque tous les cas, il était possible de voler des données même si la fonctionnalité de chiffrement FileVault était activée sur le Mac.
Les compères ont déclaré qu’il ne fallait que quelques heures pour créer un outil qui empêchait le microprogramme d’éliminer les données de la mémoire. A partir de là, les chercheurs ont recherché les clés de chiffrement du disque, qui, une fois obtenues, pourraient être utilisées pour monter le volume protégé.
Les chercheurs ont partagé leur découverte avec Apple, Microsoft et Intel. Les Mac dotés de la nouvelle puce T2 sont à l’abri de la faille, notamment l’iMac Pro et les MacBook Pro 2018. Apple a déclaré qu’elle envisageait de prendre des mesures pour protéger les Mac qui ne sont pas livrés avec la puce T2.
