En 2015, des chercheurs sont parvenus à démontrer qu’il était possible d’exploiter une faille afin de modifier la ROM de démarrage EFI (Extensible Firmware Interface en anglais) des ordinateurs Mac d’Apple. Pour cela, les chercheurs ont conçu un programme de démarrage qu’ils ont installé sur un périphérique externe et l’ont inséré dans la connexion Thunderbolt de l’ordinateur qu’ils utilisaient pour leur démonstration.
Lorsque le MacBook a démarré, le malware sur le périphérique a injecté dans l’EFI une option ROM qui est un firmware qui peut être appelé par le BIOS. Il faut souligner que l’EFI est un logiciel qui sert d’interface entre le micrologiciel (firmware) du matériel et le système d’exploitation de l’ordinateur. Lorsque l’option ROM a été installée, les chercheurs en ont profité pour remplacer la clé de chiffrement RSA que l’ordinateur utilise pour vérifier que le firmware par défaut n’a pas été falsifié ou remplacé par un tiers. En remplaçant cette clé, cela empêche toute personne de supprimer ou remplacer la nouvelle ROM de l’EFI par une ROM saine à condition d’avoir clé cryptographique utilisée pour installer la nouvelle ROM.
En outre vu qu’à ce niveau, on est encore loin des mesures de sécurité implémentées dans le système d’exploitation, ce bootkit peut être utilisé pour flasher la ROM sur la carte mère afin de créer de nouveaux kits de démarrage sur l’ordinateur infecté. Ainsi, même si l’utilisateur formate son disque ou le change, cela ne supprimera pas l’infection. Cette attaque a été baptisée Thunderstrike à cause du fait qu’elle est lancée par les interfaces de connexion Thunderbolt des ordinateurs Mac. Dans cette preuve de concept, il faut mentionner que l’attaque nécessite un bref accès physique à l’ordinateur.
Interface Thunderbolt
Quelques mois après la première démonstration, une seconde version de cette attaque a été conçue afin de prouver qu’il est possible de modifier le firmware des ordinateurs Mac à distance. Pour cela, des chercheurs ont élaboré un schéma d’une attaque où des personnes malveillantes mèneraient une attaque par phishing en envoyant un email contenant un fichier infecté à un utilisateur ou en poussant ce dernier à visiter un site contenant un lien cachant du code malveillant. Une fois le lien ou le fichier ouvert par l’utilisateur, le malware en arrière-plan se répandrait sur l’ordinateur de la victime en attendant que des périphériques soient connectés aux interfaces Thunderbolt pour les infecter. À partir de là, le processus décrit en haut se reproduirait. Cette nouvelle infection à distance a été baptisée Thunderbolt 2.0, comme pour montrer que la première attaque a évolué.
Mais il n’y a pas que ces deux attaques qui peuvent installer un programme de démarrage pour infecter les ordinateurs. Les révélations de Wikileaks dans le mois de mars nous ont permis de savoir que la CIA aurait utilisé un malware nommé Sonic Screwdriver similaire à celui décrit avec Thunderbolt pour installer ces outils sur les MacBook.
À la suite de ces rapports pointant du doigt ces failles exploitables sur les ordinateurs d’Apple, l’entreprise a sorti plusieurs mises à jour pour l’EFI de ses ordinateurs ainsi que d’autres mises à jour pour ses logiciels afin de renforcer la sécurité de ses appareils. Mais selon les chercheurs de l’entreprise de sécurité Duo Security, ces correctifs ne sont pas suffisants, car selon des recherches menées récemment, sur 73 324 Mac analysés, en moyenne 4,2 % d’entre eux exécutaient des versions d’EFI qui ne correspondaient pas aux versions attendues.
En principe, Apple intègre les mises à jour d’EFI dans les mises à jour de son système d’exploitation. Ainsi, il est possible, en associant la version du système d’exploitation utilisée sur l’ordinateur au modèle du matériel, de savoir avec exactitude la version de l’EFI qui devrait être exécutée sur la machine. Et malheureusement, en comparant la version de l’EFI qui devrait être exécutée à celle qui est exécutée sur les appareils, plusieurs écarts ressortent.
Pour certains modèles de Mac, le niveau d’écart augmente considérablement au-dessus de la moyenne. L’écart le plus élevé est de 43,0 % pour le modèle iMac 21 pouces sorti à la fin de l’année 2015, où 941 sur 2190 systèmes exécutaient des versions incorrectes du micrologiciel EFI. Cela signifie que de nombreux appareils Mac n’ont pas reçu de correctifs appropriés pour les failles EFI qui ont été rapportées.
Duo Security ajoute que 16 combinaisons de matériels Mac et d’OS n’ont jamais reçu de mises à jour du micrologiciel EFI entre les versions 10.10 à 10.12 d’OS X et macOS que les chercheurs ont eus à analyser, bien que ces ordinateurs continuent de recevoir des mises à jour de sécurité d’Apple pour leurs systèmes d’exploitation et leurs logiciels.
Source : Rapport Duo Security (PDF)
Et vous ?
Que pensez-vous de rapport ;?
De quoi remettre en cause la sécurité des systèmes d’exploitation des ordinateurs Mac ;?
Ces failles pourront-elles freiner l’engouement des certaines personnes pour les ordinateurs Mac ?
Voir aussi
Apple a sa propre vulnérabilité Stagefright : l'entreprise colmate cinq failles de sécurité qui permettent d'amorcer une attaque via un simple MMS
Les systèmes d'exploitation OS X et iOS d'Apple ont enregistré le plus de failles de sécurité en 2014, d'après un rapport
vVault 7 : Apple affirme que les documents de la CIA sont dépassés et que les vulnérabilités censées affecter ses produits ont déjà été corrigées