Quelques rappels sur la puce de sécurité T2 et sur le nouveau M1 d'Apple
La puce "Apple T2 Security" est une puce en silicium pour les Mac de deuxième génération, conçue spécialement par Apple. La puce T2 offre des capacités à votre Mac, telles que le stockage chiffré et le démarrage sécurisé, le traitement amélioré du signal d’image et la sécurité des données Touch ID. Touch ID est un système de lecture d'empreinte digitale proposé par Apple, servant à déverrouiller les appareils iPhone, iPad, MacBook Pro et Air, à effectuer des achats dans l'App Store ou à payer ses achats en ligne ou dans des boutiques physiques ou sur Internet avec le système Apple Pay.
Le T2 est une puce basée sur l'architecture ARM et sur un cœur plus récent : celui de l'A10 que l'on trouvait sur les iPhone 7. Le premier ordinateur d'Apple à avoir intégré le T2 est l'iMac Pro, sorti en 2017, mais d'autres modèles l'ont aussi intégré depuis, notamment les derniers MacBook Pro, MacBook Air et Mac Mini. Tous ces modèles ont pour point commun d'utiliser un SSD comme seul périphérique de stockage. Les MacBook Pro et MacBook Air intègrent également la technologie Touch ID. La puce T2 est en fait une amélioration de la puce T1, déjà présente sur les MacBook Pro depuis 2016.
Le M1 d'Apple quant à lui est la première puce conçue spécifiquement pour Mac. Lors de sa présentation en novembre dernier, Apple a affirmé que la puce M1 offre des performances avancées, des technologies personnalisées, une très grande efficacité énergétique et de bonnes performances par watt. Le M1 a été conçu dès le début pour fonctionner avec le système d'exploitation de bureau "macOS Big Sur". « Ce n'est pas une mise à niveau. C'est une percée », a déclaré Apple à propos du M1. C'est une puce également basée sur l'architecture ARM.
Le M1 est déployé dans le MacBook Air (M1, 2020), le Mac mini (M1, 2020) et le MacBook Pro (13 pouces, M1, 2020). C'est la première puce d'ordinateur personnel construite selon un procédé à 5 nm. Apple affirme qu'elle possède le noyau CPU le plus rapide au monde "en silicium basse consommation" et la meilleure performance CPU au monde par watt. Le M1 possède quatre cœurs Firestorm haute performance et quatre cœurs Icestorm à faible consommation d'énergie, offrant de ce fait une configuration similaire à celle de l'ARM DynamIQ et des processeurs hybrides Lakefield et Alder Lake d'Intel.
Les puces T2 et M1 d'Apple intègrent une couche de sécurité avancée
Dans une analyse présentée sur son site Web personnel la semaine dernière, Jeffrey Paul, hacker et chercheur en sécurité vivant à Berlin et fondateur de l'EEQJ, une organisation de conseil et de recherche, a affirmé que les ordinateurs Apple modernes ne peuvent plus être pleinement utilisés et entretenus dans des environnements entièrement (100 %) hors ligne, ou d'une manière qui garantit raisonnablement que l'ordinateur est exempt de toute manipulation ordonnée par l'État. Il s'agit essentiellement des ordinateurs Apple équipés des puces M1 et T2. Mais pourquoi ?
En effet, Paul a remarqué que si vous souhaitez désormais restaurer entièrement et complètement ces appareils dans leur état d'origine pour quelque raison que ce soit (qu'il s'agisse d'un virus ou d'un logiciel malveillant, du retour d'une configuration de test ou de recherche, de la préparation à la revente, de la corruption des données du disque, etc.), le système d'exploitation de la section spéciale sécurisée du processeur (dans le M1) ou la puce de sécurité/chiffrement séparée (dans le T2) doit être restauré en premier pour que l'ordinateur puisse même penser à démarrer un système d'exploitation.
La seule façon d'y parvenir est d'obtenir une signature cryptographique d'Apple, spécifique à ce matériel. Apple les fournit librement, à condition que votre matériel ne soit pas marqué comme étant verrouillé sur un Apple ID particulier, auquel cas ils le donnent librement si vous fournissez les données d'authentification (nom d'utilisateur, mot de passe, etc.) pour cet appareil. Les puces T2 et M1 sont équipées d'un système d'exploitation spécial, spécifique à la sécurité, qui empêche toute réinstallation de l'appareil, sans avoir fourni la preuve que le matériel est bien le vôtre.
Dans le cas de la puce T2 par exemple, elle joue deux rôles (ou deux processus entrent en jeu pour assurer ce comportement) : un démarrage sécurisé et un chiffrement du SSD. Le démarrage sécurisé est un procédé qu'Apple utilise déjà sur les appareils iOS. Il permet de vérifier l'intégrité du système d'exploitation, c'est-à-dire que, avant de démarrer, la puce vérifie d'abord si le système d'exploitation est bel et bien conforme à celui authentifié par Apple. Dans le cas contraire (le cas où la vérification échoue), il ne démarre pas.
À titre d'exemple, si un logiciel malveillant avait précédemment modifié des composants de bas niveau du système, ces changements seraient détectés par la puce T2 et macOS refuserait de se lancer. Le système spécifique à la sécurité à l'origine de ce comportement de la puce T2 est appelé BridgeOS. Pour récapituler, lorsque vous démarrez votre Mac, c'est la puce T2 qui s'active en première position, charge ensuite le bootloader, puis Bridge OS, et enfin le système d'exploitation à proprement parler. Si ce dernier est corrompu, alors Bridge OS arrête le processus de démarrage.
Dans son second rôle, quelque peu controversé, le T2 chiffre toutes les données présentes sur le SSD interne. Plus encore, un Mac équipé du T2 ne peut démarrer qu'à partir de son SSD interne et, parce qu'elles sont chiffrées, il vous est impossible de lire les données du SSD de votre Mac sur un autre Mac. Apple a en effet conçu le T2 pour qu'il agisse comme un moteur de chiffrement AES à la place du processeur principal. Ensuite, lors de la fabrication, Apple attribue à chaque Mac équipé d'un T2 un identifiant unique permettant d'appairer les puces mémoires du SSD au processeur T2.
Une couche de sécurité avancée utile, mais contraignante dans certains cas
La couche de sécurité des puces T2 et M1 évite que votre Mac boote à partir d'un système d'exploitation corrompu ou qu'il soit réinstallé à votre insu, dans le cas d'un vol par exemple. Lorsque l'un ou l'autre de ces deux cas se présente, l'appareil doit se connecter à Internet (à Apple) pour obtenir une donnée de signature cryptographique qui lui permet d'être "activé", ce qui permet à la puce de sécurité (qui sert d'intermédiaire pour toutes les entrées/sorties du disque) d'être réinstallée. Cependant, selon l'analyse de Paul, cela signifie que les récents Mac sont désormais totalement inadaptés à certaines applications industrielles d'importance critique.
« Je gère un petit nombre de systèmes de haute sécurité qui n'ont jamais été connectés à Internet et qui n'ont été en contact qu'avec un nombre limité d'appareils qui peuvent éventuellement faire entrer ou sortir des données. Ils ont été achetés sans lien avec moi ou mes entreprises, en personne, sur étagère, contre de l'argent, pour éviter des attaques ciblées. Ils ont été complètement effacés, mis à zéro, puis amorcés à partir de supports d'amorçage vérifiés cryptographiquement (localement, sur d'autres systèmes de haute assurance) », a-t-il déclaré.
« Dans certains cas, les firmwares internes ont été directement extraits des puces pour vérifier qu'ils sont bien ce qu'ils devraient être. Ensuite, une image de système d'exploitation connue est utilisée pour les installer, et ils sont utilisés pour certaines tâches cryptographiques extrêmement sensibles ou de grande valeur, généralement hors ligne de façon permanente (air gap). Certains sont connectés de manière très spécifique et limitée à des réseaux "insulaires" exclusivement non connectés à Internet », a-t-il expliqué.
Pour réutiliser ces machines, ou pour les auditer/vérifier, il faut passer plusieurs étapes : vider leurs données, les effacer complètement, vérifier leur microprogramme, réinstaller à partir de supports vérifiés par cryptographie.( En option, audit pour s'assurer que les vidages de données sont ce qu'ils sont censés être.) Mais Paul estime que cela est désormais impossible sur n'importe quel Mac moderne (et sur 100 % de tous les macs récents). En fait, entre l'étape d'effacement et de réinstallation, la machine doit se connecter à Apple pour obtenir une donnée d'activation.
D'après Paul, le code qui fait cette demande est un code source fermé, et la demande elle-même est chiffrée. Le système de sécurité est conçu de manière à ce que la demande comprenne nécessairement un identifiant unique du système (probablement le numéro de série du système, ou un identifiant unique différent à l'intérieur du processeur qui correspond dans les enregistrements internes d'Apple au numéro de série du système assemblé). En outre, la connexion à Apple inclut l'adresse IP à partir de laquelle vous vous connectez, mais les adresses IP sont des emplacements grossiers (au niveau de la ville).
Apple sait de cette manière que le numéro de série X est à l'emplacement Y au moment Z où vous réactivez. Si vous ne le réactivez pas, l'ordinateur ne fonctionnera tout simplement pas du tout, même si vous disposez d'un support de réinstallation local complet. Notez que les iPhone et iPad ont tous été comme ça depuis leur premier jour de sortie : vous pouvez les effacer hors ligne, mais ils sont très proches de la brique jusqu'à ce que vous puissiez les remettre en ligne pour les "activer", ce qui, tout comme l'ordinateur, expose l'identifiant unique de votre appareil, l'IP (localisation approximative) et l'horodatage à Apple.
Cela se produit à nouveau chaque fois que vous installez une application, car une autorisation en ligne similaire est nécessaire pour mettre une application sur un tel appareil. Selon Paul, cela signifie que l'appareil peut potentiellement être trafiqué par Apple (ou toute personne pouvant contraindre Apple), système par système. En somme, il est impossible de prendre un système, de l'effacer et de le réinstaller hors ligne à partir d'une clé USB de réinstallation sur la planète, vérifiée de manière cryptographique, exactement comme le même OS.
Il y a maintenant une étape intermédiaire, où il s'identifie auprès d'Apple et conserve certaines données uniques à ce système jusqu'au stockage à long terme sur l'appareil, et ce processus est totalement opaque pour vous. Le système d'exploitation de la puce de sécurité, ou le système d'exploitation principal du système, fera-t-il quelque chose de différent en fonction du contenu de ces données uniques au système ? Il n'y a pas de moyen simple ou direct de le savoir, surtout si l'on considère que le système spécifique de la puce de sécurité est chiffré de telle manière que seule la puce de sécurité peut le déchiffrer.
La rétro-ingénierie de ces systèmes prend énormément de temps ; ce n'est que des années après leur sortie que les premiers dumps logiciels du code de l'enclave de sécurité de l'iPhone sont même devenus disponibles (et, même alors, les dumps sont exécutables, pas le code source, et doivent être rétro-ingénierie comme tout autre binaire compilé). Ce logiciel est régulièrement mis à jour avec de nouvelles versions, de sorte que toute analyse publique approfondie de ce type est totalement inutile (du point de vue de l'assurance de la sécurité) peu de temps après.
Le fonctionnement de la couche de sécurité des puces accroît le pouvoir d'Apple
« Il s'agit d'une énorme dégradation de la fiabilité de la plateforme Mac dans son ensemble », a déclaré Paul. « Il est désormais impossible de savoir si un Mac obéit aux souhaits de son propriétaire (via un effacement et une réinstallation à partir d'un média connu) et s'il n'a pas eu un subtil drapeau "backdoor the disk encryption hardware because the FBI made us do it" (le matériel de chiffrement du disque est détourné parce que le FBI nous a obligés à le faire, NDLR) enfoncé dans sa gorge depuis la moitié d'une planète », a-t-il poursuivi à propos du fait qu'il est impossible de consulter le code du système de sécurité du T2.
Il rappelle certains événements pour illustrer ses dires. Il a parlé de la fois où Apple, sous la pression du PCC (Parti communiste chinois), a censuré les applications utilisées par les manifestants prodémocraties à Hong Kong. « La possibilité de garantir que votre appareil, autrefois fabriqué par Apple, n'est plus contrôlé à distance par Apple (et les gouvernements avec lesquels elle coopère) vous a été retirée dans leurs derniers modèles. Même si vous faites confiance à Apple à 100 %, le fait que l'État puisse effectivement mettre une arme à feu sur sa tête et exiger qu'il désactive ou surveille certains appareils spécifiques signifie que cette plateforme dans son ensemble n'est plus digne de confiance, même avec des mesures extrêmes et professionnelles », a-t-il déclaré.
Tous les Macs vendus aujourd'hui ou récemment fonctionnent sous ce système ; vous ne pouvez pas les mettre dans un état localement connu/vérifié, une fonction où vous contrôlez toutes les entrées : cela ne vous permettra tout simplement pas d'utiliser le disque sans une entrée externe opaque à cette fonction, que vous ne pouvez pas inspecter ou modifier. « Ce n'est plus votre machine ; effacez sa mémoire et cette machine ne fonctionnera pas sans l'autorisation explicite d'Apple. Apple veut que votre machine soit en sécurité : à l'abri de tout le monde, sauf d'Apple (et des gouvernements auxquels Apple doit répondre) », a déclaré Paul.
Pour Paul, les Mac modernes sont totalement inadaptés à certaines applications industrielles d'importance critique, dont en voici quelques exemples :
- les systèmes "air gap" qui ne se connectent jamais à Internet, tels que ceux qui sont utilisés dans les cryptomonnaies, des opérations de chiffrement de grande valeur, les SCIF (Sensitive Compartmented Information Facility - installation d'information compartimentée sensible), ou d'autres installations hors ligne de traitement de données sécurisées ;
- les systèmes qui doivent conserver leur intégrité cryptographique (par exemple, être entièrement effacés et réinstallés, hors ligne, à partir de supports d'amorçage connus et vérifiés) ;
- les systèmes qui sont hors ligne pendant de longues périodes, où aucun accès à Internet n'est disponible et où ces systèmes doivent pouvoir être réparés/réinstallés/restaurés en cours de fonctionnement. Il y a par exemple les stations de recherche éloignées, les navires en mer, etc.
Enfin, Paul a également déclaré que tout pays qui déciderait de censurer totalement ou de bloquer l'accès à Apple ou de rompre ses liens avec les États-Unis (sans un accord spécial avec Apple, comme en Chine) rendra inopérant tout Mac ou iPhone/iPad qui aurait été effacé, car il ne pourra pas être réactivé.
Source : Analyse de Jeffrey Paul
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la couche de sécurité interne des puces T2 et M1 d'Apple ?
Les avantages de la couche de sécurité des puces T2 et M1 valent-ils les contraintes qu'elle impose ?
Voir aussi
Un développeur a réussi à lancer Windows 10 pour ARM sur un Mac muni d'un processeur Apple M1 grâce à une version personnalisée de l'outil de virtualisation QEMU
Les Mac ARM d'Apple ne peuvent pas lancer Windows via Boot Camp pour l'instant, car la licence de Microsoft ne le permet pas
La version 4.2.0 du logiciel libre de machine virtuelle et d'émulation QEMU est disponible avec son lot de nouvelles fonctionnalités et d'améliorations
WWDC 2020 : Apple annonce que les prochains Mac seront équipés de ses propres processeurs, à la place de ceux d'Intel, un moment « historique », selon Tim Cook