Des périphériques Thunderbolt permettent de pirater Windows, macOS et Linux

Tech > Windows > MacOS > Linux
Par Emmanuel Ghesquier publié le 2 mars 2019 à 16h00.

Attention aux piratages qui peuvent actuellement sévir sur Windows, macOS et Linux : ceux-ci s’initient en simulant des périphériques Thunderbolt. De cette façon, il est possible d’avoir accès à des zones de mémoire protégées.

Il faut être prudent si vous disposez d’un port Thunderbolt sur votre PC. C’est ce que révèle une étude menée par des chercheurs, qui montrent que ces interfaces très populaires peuvent potentiellement donner accès aux pirates à la mémoire vive de l’ordinateur. Cette attaque a été dénommée Thunderclap.

Des piratages à partir de périphériques Thunderbolt

Pour les chercheurs, ces vulnérabilités « permettent à un attaquant disposant d’un accès physique à un port Thunderbolt de compromettre une machine ciblée en l’espace de quelques secondes, d’exécuter du code arbitraire au plus haut niveau et, potentiellement, d’accéder à des mots de passe, des identifiants bancaires, des clés de chiffrement, des fichiers confidentiels ».

Les données de navigation, et d’autres types de données, sont aussi concernées. Ces attaques marchent aussi bien sur Windows, macOS, Linux et FreeBSD. Comment expliquer que ces attaques Thunderclap fonctionnent ? Parce que certaines entreprises – dont Microsoft – n’ont activé que tardivement une protection pour limiter l’accès à la mémoire.

Une attaque baptisée Thunderclap

Et ce n’est pas tout : il faut aussi que les fabricants mettent à jour leur firmware. Les fabricants de périphériques doivent quant à eux mettre à jour leurs drivers, et tous ne l’ont pas encore fait. Mais en dépit de tout cela, les chercheurs sont sceptiques quant à l’efficacité du dispositif de protection IOMMU (Input-Output Memory Management Unit) proposé par les sociétés.

Après avoir mené des expériences, les chercheurs ont indiqué que « les résultats sont catastrophiques, révélant des vulnérabilités endémiques en présence d’un attaquant plus sophistiqué, en dépit de l’utilisation explicite de l’IOMMU ». De nombreuses failles ont ainsi été découvertes.

Ainsi, sur macOS, malgré cette protection IOMMU, il a été possible, en simulant une carte réseau, d’accéder aux données en clair d’un trafic VPN. Cela a aussi été le cas sur Linux. Et les chercheurs indiquent que d’autres types d’attaques sont possibles. Afin de se protéger, il est conseillé de désactiver les interfaces Thunderbolt au niveau du firmware (BIOS/UEFI).

En savoir plus