fermer
Apple

Un malware qui infecte définitivement le matériel de votre Mac

apple thunderstrike 2 firmware 1

Les ordinateurs Apple ont toujours été présentés comme plus sûrs que d’autres PC puisque leur firmware ne peut pas être infecté. Malheureusement, cela n’est plus vrai, comme vous allez le lire dans la suite de cet article. Si votre Mac est infecté par des logiciels malveillants à la suite d’une nouvelle vulnérabilité, les chercheurs en sécurité mentionnent qu’il n’y a pas de remède. Même si vous nettoyez votre disque dur ou que vous réinstallez OS X, votre ordinateur sera infecté de façon permanente. Et, le seul remède est de jeter votre disque dur … du moins en théorie.

Par le passé, Apple a prétendu que ses Macs n’étaient pas vulnérables aux attaques connues du firmware sur PC, mais les chercheurs affirment que Thunderstrike 2 expose les MacBook à des vulnérabilités similaires. Contrairement aux attaques sur PC, les infections sur un Mac sont « ancrées dans le matériel », ont déclaré le chercheur, Corey Kallenberg, et son équipe dans un communiqué sur la session sur Thunderstrike 2 lors de la Black Hat.

« Les gens entendent parler des attaques sur les PC et ils supposent que le firmware d’Apple est mieux », a déclaré le chercheur en sécurité Xeno Kovah dans une interview à Wired. « Alors que nous essayons de faire comprendre que chaque fois que vous entendez parler des attaques de firmware EFI, c’est à peu près sur tous les ordinateurs x86 », poursuit-il.

Kovah et son équipe ont constaté que cinq des six vulnérabilités de PC pouvaient affecter le firmware des Mac.

Un malware qui infecte définitivement le matériel de votre Mac

Vulnérabilité au firmware

« Il se trouve que presque toutes les attaques que nous avons trouvées sur les PC sont également applicables aux Mac », a déclaré Kovah. « La plupart des utilisateurs et des organisations ne disposent pas des ressources nécessaires pour ouvrir physiquement leur machine et reprogrammer électriquement la puce », dit-il, pour permettre de supprimer les logiciels malveillants.

L’attaque se passe au niveau du BIOS et est ciblée sur le firmware de l’ordinateur. Lorsque vous allumez votre ordinateur, le firmware EFI va booter et lancer le système d’exploitation. Souvent, le firmware est vulnérable puisqu’il n’est pas signé par le fabricant, et parfois il n’y a rien qui empêche les utilisateurs de charger des fichiers de firmware illégitimes. Puisque le firmware reste même si l’OS est effacé ou restauré, l’attaque est persistante.

« Ce que nous avons également constaté est qu’il y a vraiment une forte probabilité que la vulnérabilité affecte également les MacBook, puisque Apple utilise un firmware EFI similaire », a déclaré Kovah. Les chercheurs ont réalisé une démonstration de leurs conclusions lors des conférences sur la sécurité Black Hat et Def Con, et que le malware est difficile à détecter, car les détecteurs de logiciels malveillants ne scrutent généralement pas le firmware.

Un simple câble Thunderbolt suffit…

Pour infecter un Mac, les chercheurs ont mentionné que le malware de firmware peut être livré par un e-mail de phishing ou lorsque les utilisateurs visitent un site Web malveillant. Une fois infecté, le firmware examinera le Mac pour les périphériques connectés qui contiennent Option ROM. Cela pourrait inclure des accessoires connectés sur le port Thunderbolt. Encore plus effrayant donc, puisque l’attaque peut se propager à travers les Mac sans une connexion réseau. Une fois que ces accessoires sont infectés, ils peuvent se propager à d’autres Macs une fois branchés. Une fois que l’ordinateur redémarre, l’accessoire infecté va écrire le malware sur le BIOS.

Bien que cette méthode de livraison soit similaire à un malware arrivé par les ports USB, Thunderstrike 2 va encore plus loin en infectant le BIOS plutôt que le système d’exploitation, ce qui rend le malware difficile à détecter et à peu près impossible à enlever.

Un malware qui infecte définitivement le matériel de votre Mac

Et maintenant ?

Maintenant que l’on a dit ça, que vous soyez tous en train de flipper, que faire ? Les chercheurs suggèrent que les fabricants, comme Apple, doivent signer leur firmware avec une signature numérique et travailler contre une protection d’écriture de sorte que seul un firmware autorisé peut être chargé.

Vous l’aurez compris, de votre côté tout ce que vous avez à faire est de vérifier toujours le contenu que vous voulez ouvrir. Et avant de jeter votre Mac, appelez moi je veux bien le récupérer 🙂

Tags : macsécurité
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.