Thunderspy : testez votre vulnérabilité à la nouvelle faille Thunderbolt

Le par Jérôme G.  |  3 commentaire(s)
Thunderbolt-3

Une vulnérabilité matérielle touche tous les PC fabriqués avant 2019 et équipés d'un port Thunderbolt. Intel se montre plutôt serein.

Le chercheur en sécurité Björn Ruytenberg de l'université de technologie d'Eindhoven aux Pays-Bas a levé le voile sur une attaque baptisée Thunderspy en référence à de l'espionnage sur des ordinateurs équipés d'un port Thunderbolt.

" Si votre ordinateur dispose d'un tel port, un attaquant qui y a brièvement accès physiquement peut lire et copier toutes vos données, même si votre disque est chiffré et que votre ordinateur est verrouillé ou en veille. " Il souligne une attaque qui ne laisse pas de trace.

Selon Björn Ruytenberg, seulement cinq minutes suffisent à un attaquant pour parvenir à ses fins. Il doit néanmoins être muni d'un tournevis pour une opération de démontage léger et d'un matériel adéquat à transporter. Il s'agit notamment de modifier le firmware Thunderbolt pour désactiver la sécurité. On comprendra aisément qu'il ne s'agit pas d'une attaque à la portée de n'importe qui et peu susceptible de viser le grand public.

Afin de déterminer si un système est vulnérable, un outil Spycheck a été développé. Il est proposé pour Windows et pour Linux. Un ordinateur Mac avec macOS ne serait par contre que partiellement affecté par Thunderspy.

Reste que tous les PC datant d'avant 2019 seraient vulnérables. Le chercheur en sécurité explique avoir trouvé 7 vulnérabilités dans la conception d'Intel et avoir développé 9 scénarios dits réalistes sur une exploitation " par une entité malveillante pour avoir accès au système, au-delà des défenses qu'Intel avait mis en place pour la protection. "

Prévenu en février dernier, Intel a justement réagi et pondère la gravité apparente de la situation. La vulnérabilité sous-jacente ne serait ainsi pas nouvelle. D'après Intel, une protection Kernel Direct Memory Access (DMA) a été implémentée en 2019 par les principaux systèmes d'exploitation afin d'atténuer de telles attaques.

Intel cite Windows 10 (à partir de la version 1803), Linux (noyau 5.x) et macOS à partir de la version 10.12.4. " Les chercheurs n'ont pas démontré la réussite des attaques DMA contre les systèmes avec les mesures d'atténuation en place. "

Le souci est que Kernel DMA Protection nécessite un support matériel adapté et ne profite pas de rétrocompatibilité pour d'anciens systèmes. Pour Windows 10, Microsoft avait fait mention de cette protection contre les attaques par accès direct à la mémoire à l'aide d'appareils PCI connectés à chaud aux ports Thunderbolt 3.

Les travaux de Björn Ruytenberg feront l'objet d'une présentation lors de la conférence de sécurité BlackHat USA 2020 en août prochain.


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Ulysse2K Hors ligne VIP icone 46201 points
Le #2098813
"Intel se montre plutôt serein. " ... Ben voyons. Genre : pour certains la situation est grave mais pas désespérée tandis qu'ici, elle est désespérée mais ce n'est pas grave !

"Microsoft avait fait mention de cette protection contre les attaques par accès direct à la mémoire à l'aide d'appareils PCI connectés à chaud aux ports Thunderbolt 3."

Une source svp ?
Phil995511 Hors ligne Vétéran icone 2186 points
Le #2098820
Mon laptop Dell est configuré dans son bios, par défaut, pour refuser de booter sur des périphériques Thunderbolt tellement ceux-ci sont peu sûrs. Ce concurrent à l'USB créé par Intel et adopté massivement par Apple est quelque peu buggé...
alexandrep Hors ligne Héroïque icone 963 points
Le #2098875
Du coup sur Mac si je comprends bien on est pas affecté ?
Notamment avec la puce T2 ?
icone Suivre les commentaires
Poster un commentaire