Accueil » Thunderstrike : un bootkit redoutable pour les Mac
High-Tech

Thunderstrike : un bootkit redoutable pour les Mac

Comme les ordinateurs sous Windows, les machines sous Mac sont exposées à divers périls. Le dernier en date a été révélé au cours d’une conférence de hackers. Baptisé Thunderstrike, il s’agit d’un bootkit qui infecte les ordinateurs Mac et s’avère très difficile à détecter et à retirer.

Malgré la communication d’Apple vantant la robustesse de ses produits face aux logiciels malveillants, les ordinateurs fonctionnant sous Mac ne sont pas invulnérables. Leur apparente résistance face à ces périls provient surtout du fait qu’ils constituent une cible moins attrayante, les individus mal intentionnés préférant concentrer leurs efforts sur les écosystèmes les plus courants, comme Windows.

THUNDERSTRIKE, UN BOOTKIT REDOUTABLE

Des programmes néfastes existent pourtant, comme par exemple Flashback et WireLurker, et des vulnérabilités sont parfois révélées au cours de conférences dédiées au hack ou à la sécurité informatique. C’est de cette façon que “Thunderstrike” a été présentée. En effet, cette vulnérabilité a été présentée une première fois en décembre au cours du Chaos Communication Congress par Trammell Hudson.

Dans le compte-rendu produit par Ars Technica, il est expliqué que Thunderstrike est en mesure de contaminer un ordinateur Mac au moment de la séquence d’allumage, lorsqu’un périphérique externe contenant le logiciel malveillant est branché sur le port Thunderbolt de la machine (d’où son nom). Une Option ROM est alors injectée dans l’interface micrologicielle extensible unifiée (EFI).

À ce moment-là, l’Option ROM remplace la clé de chiffrement RSA utilisée par Apple pour signer les firmwares autorisés et vérifier que seuls ceux-ci sont bien installés. Dupé, l’ordinateur poursuit alors son démarrage normalement, sans savoir qu’il est en réalité infecté par Thunderstrike.

Selon nos confrères, l’attaque reprend en fait une méthode d’attaque qui avait été présentée au cours de la conférence BlackHat de 2012, en l’améliorant. Il est extrêmement difficile de supprimer Thunderbolt, dans la mesure où ni le formatage ni une réinstallation du système d’exploitation ne seront efficaces. Par ailleurs, il serait impossible de repérer une machine infectée.

UNE DANGEROSITÉ A RELATIVISER

Malgré la dangerosité évidente de Thunderstrike, ce bootkit ne constitue pas a priori une menace immédiate pour les usagers sous Mac

D’abord parce qu’il n’y a aucune preuve de l’existence d’une campagne de contamination qui laisserait à penser que ce logiciel est en train de se propager. En effet, il faut avoir un accès physique à la machine cible pour pouvoir brancher un périphérique sur le port Thunderbolt et commencer l’infection. De fait, ‘exposition au risque est très limitée pour un particulier.

Ensuite, parce qu’Apple a d’ores et déjà commencé à régler partiellement le problème. Comment ? En empêchant le chargement de l’Option ROM pendant la mise à jour du firmware. Selon Trammell Hudson, cette tactique fonctionne contre la méthode qu’il a découverte. Elle est d’ores et déjà en cours de déploiement sur les machines du constructeur.

Trammell Hudson précise toutefois qu’un correctif complet sera tôt ou tard indispensable pour régler certains cas de figure qui pourraient apparaître, comme l’installation d’une version vulnérable du firmware ou un retour vers une mouture antérieure de Mac, même s’ils semblent très peu probables. De plus, Trammell Hudson n’écarte pas l’éventualité d’une adaptation du bootkit afin qu’il puisse attaquer une machine à distance, sans avoir besoin d’un accès physique.

( photo : CC BY-NC-ND Quattro Vageena )

Si vous avez trouvé une erreur d’orthographe, veuillez nous en aviser en sélectionnant le mots et en appuyant sur Ctrl+Enter.

A propos de l'auteur

Sébastien T.

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

3 User(s) Online Join Server
  • RegFau1t
  • Adrien Marmoud
  • Xekos

Rejoignez nous sur Teamspeak

Rejoindre notre Teamspeak

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 958 autres abonnés.

Je souhaite m'abonner à la newsletter par email. J'ai compris la Déclaration de protection des données.
Je peux modifier mon consentement pour l'usage de mon courriel à n'importe quel moment, en ouvrant le lien "Se désinscrire" à la fin de la newsletter ou sur mon profil.

Tester votre débit

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

3 User(s) Online Join Server
  • RegFau1t
  • Xekos
  • Adrien Marmoud

Rejoignez nous sur Teamspeak

Rejoindre notre Teamspeak

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 958 autres abonnés.

Je souhaite m'abonner à la newsletter par email. J'ai compris la Déclaration de protection des données.
Je peux modifier mon consentement pour l'usage de mon courriel à n'importe quel moment, en ouvrant le lien "Se désinscrire" à la fin de la newsletter ou sur mon profil.

Tester votre débit

Oui Non

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :