Pas moins de sept vulnérabilités ont été identifiées dans le port Thunderbolt permettent à un attaquant disposant d’un accès physique à l’appareil de contourner toute sécurité, quelle que soit la plate-forme. Il affecte tous les ordinateurs portables et ordinateurs construits depuis 2011.
Les vulnérabilités, connues collectivement sous le nom de ThunderSpy, ont été identifiées par le chercheur en sécurité Björn Ruytenberg, étudiant en informatique et ingénierie.
Ce ne sont pas vos vulnérabilités matérielles moyennes, car elles nécessitent des connaissances considérables et du matériel supplémentaire. Mais une fois qu’un attaquant possède tous les outils logiciels et matériels, tout ordinateur doté du port Thunderbird et construit au cours des neuf dernières années peut être compromis, et peu importe s’il fonctionne sous Windows, Linux ou MacOS.
“Thunderspy est furtif, ce qui signifie que vous ne pouvez trouver aucune trace de l’attaque”, explique le chercheur. “Cela ne nécessite pas votre implication, c’est-à-dire qu’il n’y a pas de lien de phishing ou de matériel malveillant que l’attaquant vous incite à utiliser.”
«Thunderspy fonctionne même si vous suivez les meilleures pratiques de sécurité en verrouillant ou en suspendant votre ordinateur lorsque vous quittez brièvement, et si votre administrateur système a configuré l’appareil avec Secure Boot, un BIOS et des mots de passe de compte de système d’exploitation solides et activé le cryptage complet du disque. Tout ce dont l’attaquant a besoin est de 5 minutes seul avec l’ordinateur, un tournevis et du matériel facilement portable. »
Cette attaque n’est pas seulement théoriquement possible – Ruytenberg a développé neuf scénarios dans lesquels de mauvais acteurs pourraient exploiter ces vulnérabilités. Il existe même une courte vidéo expliquant comment la sécurité d’un système Windows est contournée.
Intel et Apple (développeur Thunderbolt) ont été informés des vulnérabilités en Février. Intel a déclaré qu’il était déjà au courant de certains d’entre eux, et Apple a choisi de ne rien faire parce que macOS n’était que partiellement vulnérable.
Intel a informé un certain nombre de partenaires concernés, et Apple a simplement déclaré: «Certaines des fonctionnalités de sécurité matérielle que vous avez décrites ne sont disponibles que lorsque les utilisateurs exécutent macOS. Si les utilisateurs sont préoccupés par l’un des problèmes de votre document, nous leur recommandons d’utiliser macOS. »
Le chercheur a également publié un outil qui indique aux gens si leur matériel est affecté par la vulnérabilité et l’a rendu disponible sur son site Web.
Pour lire l’étude : https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pdf
Outils de detection : https://thunderspy.io
Référence de l’auteur de l’étude :
Björn Ruytenberg. Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020. https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pdf
Leave a Reply