Une faille Thunderbolt accorde aux pirates l'accès à vos données
Récemment, un chercheur a publié une preuve de concept qui lui montrait l'accès au contenu d'un ordinateur portable verrouillé en quelques minutes. Le nœud du défaut vient de Thunderbolt. Mais bien qu'il ait eu accès à l'ordinateur portable, il avait besoin d'un accès physique, d'un tournevis et de pièces standard.
Mise à jour, 5/11: Intel dit que cette attaque ne fonctionnera pas sur les ordinateurs avec la protection Kernal DMA activée. Un porte-parole d'Intel nous dit: «Cette attaque n'a pas pu être démontrée avec succès sur des systèmes avec la protection DMA du noyau activée. Comme toujours, nous encourageons tout le monde à suivre de bonnes pratiques de sécurité, notamment en empêchant l'accès physique non autorisé aux ordinateurs. » La société a également publié une réponse à la recherche dans un article de blog.
Surnommée Thunderspy, l'attaque profite du fait que Thunderbolt est un port d'accès direct à la mémoire. Comme PCI-Express et Firewire, les ports Thunderbolt accèdent à la mémoire système directement à l'extérieur du processeur, ce qui permet des taux de transfert élevés. Mais c'est aussi ce qui les rend vulnérables aux attaques directes de mémoire.
Comme le montre la vidéo de démonstration du chercheur en sécurité Björn Ruytenberg, en profitant de l'accès de Thunderbolt à la mémoire système, un pirate peut accéder à vos données même lorsque l'ordinateur portable est verrouillé et le disque dur est crypté.
L'attaque n'est pas simple, cependant, le pirate informatique devrait être bien préparé et avoir besoin d'accéder à votre ordinateur portable. Le hack consiste à retirer la plaque arrière (en bas) d'un ordinateur portable et à connecter un appareil à la carte mère pour reprogrammer le firmware.
Bien que Ruytenberg soutienne que c'est un processus qu'il peut accomplir en quelques minutes, cela suppose une connaissance de l'ordinateur portable et de ce qui est nécessaire pour retirer la plaque arrière (si cela est possible). Il est peu probable que votre ordinateur portable sans surveillance soit victime de cette attaque contre un Starbucks, mais votre ordinateur portable volé est une autre histoire.
Selon Ruytenberg, la faille n'est pas un problème logiciel et ne peut pas être corrigée. Au lieu de cela, une refonte de la puce est nécessaire. D'autres chercheurs semblent être en désaccord, au moins en partie, et soutiennent que la nouvelle protection au niveau du noyau de Windows 10 devrait au moins partiellement atténuer le problème. Et si vous êtes sur macOS, vous êtes également partiellement protégé.
Rutenberg a poursuivi en disant qu'un autre vecteur de l'attaque peut contourner la nécessité de démonter partiellement l'appareil. Mais dans ce cas, le pirate aurait besoin d'accéder à un dispositif de coup de foudre précédemment connecté à l'ordinateur portable.
Il convient de mentionner que les failles de sécurité potentielles de Thunderbolt sont l’une des raisons pour lesquelles Microsoft n’inclura pas le port sur les appareils Surface. Pour l'instant, si vous craignez que cette faille affecte votre appareil, vous pouvez le vérifier sur le site Web ThunderSpy créé par Ruytenberg.
Source: ThunderSpy via filaire