Discussion :

[Olivier Famien]

Duo Security rapporte que nombreux ordinateurs Mac sont toujours vulnérables à des attaques exploitant des failles sur l’EFI,
malgré le rythme soutenu des sorties de mises à jour

L’entreprise de sécurité Duo vient de rapporter à travers un récent rapport mené sur les ordinateurs Mac que des vulnérabilités persistantes liées à différents modèles d’ordinateurs de la firme Apple sont toujours d’actualité alors que des mises à jour ont été publiées pour ces ordinateurs.

En 2015, des chercheurs sont parvenus à démontrer qu’il était possible d’exploiter une faille afin de modifier la ROM de démarrage EFI (Extensible Firmware Interface en anglais) des ordinateurs Mac d’Apple. Pour cela, les chercheurs ont conçu un programme de démarrage qu’ils ont installé sur un périphérique externe et l’ont inséré dans la connexion Thunderbolt de l’ordinateur qu’ils utilisaient pour leur démonstration.

Lorsque le MacBook a démarré, le malware sur le périphérique a injecté dans l’EFI une option ROM qui est un firmware qui peut être appelé par le BIOS. Il faut souligner que l’EFI est un logiciel qui sert d’interface entre le micrologiciel (firmware) du matériel et le système d’exploitation de l’ordinateur. Lorsque l’option ROM a été installée, les chercheurs en ont profité pour remplacer la clé de chiffrement RSA que l’ordinateur utilise pour vérifier que le firmware par défaut n’a pas été falsifié ou remplacé par un tiers. En remplaçant cette clé, cela empêche toute personne de supprimer ou remplacer la nouvelle ROM de l’EFI par une ROM saine à condition d’avoir clé cryptographique utilisée pour installer la nouvelle ROM.

En outre vu qu’à ce niveau, on est encore loin des mesures de sécurité implémentées dans le système d’exploitation, ce bootkit peut être utilisé pour flasher la ROM sur la carte mère afin de créer de nouveaux kits de démarrage sur l’ordinateur infecté. Ainsi, même si l’utilisateur formate son disque ou le change, cela ne supprimera pas l’infection. Cette attaque a été baptisée Thunderstrike à cause du fait qu’elle est lancée par les interfaces de connexion Thunderbolt des ordinateurs Mac. Dans cette preuve de concept, il faut mentionner que l’attaque nécessite un bref accès physique à l’ordinateur.

Interface Thunderbolt

Quelques mois après la première démonstration, une seconde version de cette attaque a été conçue afin de prouver qu’il est possible de modifier le firmware des ordinateurs Mac à distance. Pour cela, des chercheurs ont élaboré un schéma d’une attaque où des personnes malveillantes mèneraient une attaque par phishing en envoyant un email contenant un fichier infecté à un utilisateur ou en poussant ce dernier à visiter un site contenant un lien cachant du code malveillant. Une fois le lien ou le fichier ouvert par l’utilisateur, le malware en arrière-plan se répandrait sur l’ordinateur de la victime en attendant que des périphériques soient connectés aux interfaces Thunderbolt pour les infecter. À partir de là, le processus décrit en haut se reproduirait. Cette nouvelle infection à distance a été baptisée Thunderbolt 2.0, comme pour montrer que la première attaque a évolué.

Mais il n’y a pas que ces deux attaques qui peuvent installer un programme de démarrage pour infecter les ordinateurs. Les révélations de Wikileaks dans le mois de mars nous ont permis de savoir que la CIA aurait utilisé un malware nommé Sonic Screwdriver similaire à celui décrit avec Thunderbolt pour installer ces outils sur les MacBook.

À la suite de ces rapports pointant du doigt ces failles exploitables sur les ordinateurs d’Apple, l’entreprise a sorti plusieurs mises à jour pour l’EFI de ses ordinateurs ainsi que d’autres mises à jour pour ses logiciels afin de renforcer la sécurité de ses appareils. Mais selon les chercheurs de l’entreprise de sécurité Duo Security, ces correctifs ne sont pas suffisants, car selon des recherches menées récemment, sur 73 324 Mac analysés, en moyenne 4,2 % d’entre eux exécutaient des versions d’EFI qui ne correspondaient pas aux versions attendues.

En principe, Apple intègre les mises à jour d’EFI dans les mises à jour de son système d’exploitation. Ainsi, il est possible, en associant la version du système d’exploitation utilisée sur l’ordinateur au modèle du matériel, de savoir avec exactitude la version de l’EFI qui devrait être exécutée sur la machine. Et malheureusement, en comparant la version de l’EFI qui devrait être exécutée à celle qui est exécutée sur les appareils, plusieurs écarts ressortent.

Pour certains modèles de Mac, le niveau d’écart augmente considérablement au-dessus de la moyenne. L’écart le plus élevé est de 43,0 % pour le modèle iMac 21 pouces sorti à la fin de l’année 2015, où 941 sur 2190 systèmes exécutaient des versions incorrectes du micrologiciel EFI. Cela signifie que de nombreux appareils Mac n’ont pas reçu de correctifs appropriés pour les failles EFI qui ont été rapportées.

Duo Security ajoute que 16 combinaisons de matériels Mac et d’OS n’ont jamais reçu de mises à jour du micrologiciel EFI entre les versions 10.10 à 10.12 d’OS X et macOS que les chercheurs ont eus à analyser, bien que ces ordinateurs continuent de recevoir des mises à jour de sécurité d’Apple pour leurs systèmes d’exploitation et leurs logiciels.

Source : Rapport Duo Security (PDF)

Et vous ?

Que pensez-vous de rapport ?

De quoi remettre en cause la sécurité des systèmes d’exploitation des ordinateurs Mac ?

Ces failles pourront-elles freiner l’engouement des certaines personnes pour les ordinateurs Mac ?

Voir aussi

Apple a sa propre vulnérabilité Stagefright : l'entreprise colmate cinq failles de sécurité qui permettent d'amorcer une attaque via un simple MMS
Les systèmes d'exploitation OS X et iOS d'Apple ont enregistré le plus de failles de sécurité en 2014, d'après un rapport
vVault 7 : Apple affirme que les documents de la CIA sont dépassés et que les vulnérabilités censées affecter ses produits ont déjà été corrigées

[Namica]

Ah ben zut alors.
Mais il est vrai qu'Apple se préoccupe plus de son cash-store que d'une protection pro-active.
En témoignent l'augmentation des vulnérabilités relevées ces derniers temps et battant en brèche le discours marketeux de sécurité de la pomme.
Mais bon, Android vaut-il mieux ?

[Le Vendangeur Masqué]

Ah ben zut alors.
Mais il est vrai qu'Apple se préoccupe plus de son cash-store que d'une protection pro-active.

Et c'est le cas, c'est d'ailleurs contrairement à ce qui est écrit dans l'article, la première fois qu'une mise à jour d'EFI est obligatoire pour installer Mac OS 10.13.
Il y a eu par le passé des mises à jour d'EFI mais elles n'étaient pas obligatoire. Et d'ailleurs ke trouve que c'est malhonnête de ta part de critiquer Apple alors que les responsables sont les clients trop fainéants pour appliquer une mise à jour.

En témoignent l'augmentation des vulnérabilités relevées ces derniers temps et battant en brèche le discours marketeux de sécurité de la pomme.

Est-ce que cette augmentation (merci à l'avenir de publier des liens vers des sources crédible avant d'affirmer ce genre de choses, on est pas sur Clubic ou Jeuxvideo.com ici), si elle existe, a eut la moindre effet sur des attaques réelles ?
Moi tout ce que j'ai vu ces derniers temps ce sont des attaques par ingénierie sociale ou autre méthode de duperie de l'utilisateur. Rien d'aussi sophistiqué qu'une attaque par le port Thunderbolt, ce qui nécessiterait déjà qu'il soit utilisé en masse.
C'est toute la différence entre un proof of concept et le réel. Bref ça relativise beaucoup (comme de dans de nombreux autres cas) la portée de ces failles.

Mais bon, Android vaut-il mieux ?

C'est assez différent: même que tu voudrais mettre à jour, celles-ci n'existent souvent pas.

[Namica]

... Et d'ailleurs ke trouve que c'est malhonnête de ta part de critiquer Apple alors que les responsables sont les clients trop fainéants pour appliquer une mise à jour...

Hum... L'auteur de l'article relève que la/les mises à jour sont insuffisantes :

Duo Security ajoute que 16 combinaisons de matériels Mac et d’OS n’ont jamais reçu de mises à jour du micrologiciel EFI entre les versions 10.10 à 10.12 d’OS X et macOS que les chercheurs ont eus à analyser, bien que ces ordinateurs continuent de recevoir des mises à jour de sécurité d’Apple pour leurs systèmes d’exploitation et leurs logiciels.

...(merci à l'avenir de publier des liens vers des sources crédible avant d'affirmer ce genre de choses, on est pas sur Clubic ou Jeuxvideo.com ici)...

Non, on est sur DVP et l'information est disponible, l'auteur de la news a même mis des liens en fin d'article :

Apple a sa propre vulnérabilité Stagefright : l'entreprise colmate cinq failles de sécurité qui permettent d'amorcer une attaque via un simple MMS
Les systèmes d'exploitation OS X et iOS d'Apple ont enregistré le plus de failles de sécurité en 2014, d'après un rapport
vVault 7 : Apple affirme que les documents de la CIA sont dépassés et que les vulnérabilités censées affecter ses produits ont déjà été corrigées

Ensuite, si tu veux d'autres références, il y a par exemple : http://www.cvedetails.com/vendor/49/Apple.html (Est-ce assez sérieux comme référence ?)

La, ça montre bien l'augmentation en 2014 et ça continue grave en 2015. 2016 reste au dessus du niveau de 2013 et 2017 repart à la hausse.
Ou encore https://techtalk.gfi.com/2015s-mvps-...rable-players/

...Est-ce que cette augmentation, si elle existe, a eut la moindre effet sur des attaques réelles ? ...
C'est toute la différence entre un proof of concept et le réel...

1. L'augmentation en 2014 ET 2015 _existe_ et est très importante.
2. A t'entendre, il ne faudrait pas s'inquiéter des vulnérabilités découvertes. C'est un peu léger.

IOS n'a pas de failles, la preuve l'Apple store interdit tous les logiciels de sécurité (antivirus...) tellement se serait inutile .

Quant à l'exploitation réelle de certaines de ces failles, il y en a.
Exemples :

Et aussi :

• https://www.exploit-db.com/exploits/35742/ https://www.offensive-security.com/m...eashed/msf-os/
• https://www.rapid7.com/db/modules/ex...local/rootpipe
• etc...