Tous les Mac équipés d’un port Thunderbolt sont victimes d’une faille de tous les dangers vu qu’il est pratiquement impossible de colmater.
C’est à l’occasion de la conférence du Chaos Computer Club que le chercheur en sécurité Trammel Hudson a détaillé une faille qui touche tous les ordinateurs Apple équipés d’un adaptateur Thunderbolt.
Alors que le hacker Snare, en 2012, avait déjà montré la possibilité de glisser un malware dans Mac en utilisant la possibilité de lire des zones de mémoires alternatives sur des adaptateurs Thunderbolt grâce à la connexion PCIe par le biais d’« Option ROM », Trammel Hudson a pour sa part utilisé ce vecteur d’attaque pour réécrire l’EFI Boot ROM.
Cette attaque particulièrement pernicieuse, baptisée Thunderstrike met en évidence une très grosse vulnérabilité des Mac vu que l’EFI Boot ROM est un composant matériel qui gère le démarrage de l’ordinateur.
Bien qu’il faille un accès physique à la machine, ce qui n’est pas forcément compliqué pour un pirate ou un agent secret, cette faille est particulièrement pernicieuse vu qu’elle donne indirectement un accès total à la machine en permettant l’installation d’une porte dérobée, mais surtout par le fait que réinstaller le système d’exploitation ou changer le disque dur ne nettoiera pas l’infection vu qu’il s’agit d’un composant distinct. Cette attaque est d’autant plus pernicieuse qu’il suffit d’un périphérique Thunderbolt infecté partagé pour propager l’infection.
Apple a d’ores et déjà pris une contre-mesure contre cette faille en modifiant la procédure de démarrage. Ce correctif n’est pas suffisant aux yeux de Trammell Hudson vu qu’il estime qu’il sera toujours possible de revenir à une configuration antérieure sur un ancien Mac, mais aussi par le fait que la récente faille baptisée « Dark Jedi Coma » permettrait de contourner les contre-mesures mises en place par Apple.
Dans le but de se protéger, Trammel Hudson a appliqué l’attaque Thunderstrike sur ses propres Mac pour totalement désactiver « Option ROM », une solution très technique qui n’est malheureusement pas à la portée de tous les utilisateurs lambda. En attendant qu’Apple propose une solution plus pérenne, le meilleur conseil est de ne pas connecter n’importe quoi à son Mac.
Il faut encore préciser que Thunderstrike fonctionne sur tous les Mac Intel disposant d’un port Thunderbolt., soit notamment tous les MacBook commercialisés depuis 2011.