Thunderstrike : l’interface Thunderbolt pour attaquer les Mac

Par le biais de l’interface Thunderbolt, il est possible de lancer une attaque imparable contre un Mac : Thunderstrike.

C’est à l’occasion de la 31e conférence Chaos Communication Congress à Hambourg que le chercheur en sécurité Trammell Hudson a fait la démonstration d’une attaque contre les Mac qu’il a baptisée Thunderstrike. Cette attaque est particulièrement pernicieuse vu qu’elle court-circuite tous les systèmes de protection et qu’il est pratiquement impossible de l’éliminer.

Un Mac permet de sélectionner un boot alternatif au démarrage. Par ce biais, Trammell Hudson a démontré qu’il était possible de modifier l’EFI boot ROM, un circuit mémoire distinct spécifique au démarrage des ordinateurs. En ajoutant du code malveillant dans cette ROM il est possible d’infecter une machine pour avoir pratiquement un contrôle total sur l’ordinateur vu que cela rend possible de contourner le noyau de l’OS, d’ajouter des backdoors, de bloquer les mises à jour, etc. vu que tout se fait en amont du système.

Pour éliminer ce code malveillant, réinstaller entièrement le Mac ou remplacer son disque dur n’a d’ailleurs aucun effet vu que ledit code est stocké dans un circuit mémoire annexe.

Vu que celui-ci s’installe par un périphérique Thunderbolt, il suffit d’imaginer que ce périphérique soit partagé pour comprendre qu’il peut ensuite parfaitement se propager à d’autres machines. Pire, par le biais le « Option ROM » qui s’exécute avant toute autre chose, il est possible d’infecter d’autres périphériques Thunderbolt pour que le code malveillant se propage encore plus vite !

La seule condition pour que Thunderstrike puisse attaquer un Mac est qu’une personne malveillante puisse avoir un accès physique à l’ordinateur… mais est-ce aussi compliqué que cela pour un agent secret qui se fera par exemple passer pour une femme de ménage ?