ThunderSpy cible les appareils équipés de Thunderbolt

Une nouvelle attaque nommée ThunderSpy permet à des hackers de dérober des données à partir d’appareils Windows ou Linux équipés de ports Thunderbolt. Ils faudrait cependant que les individus malveillants puissent mettre la main sur l’appareil pendant seulement cinq minutes.

L’attaque, appelée «Thunderspy», cible spécifiquement la technologie Thunderbolt, qui est une interface matérielle développée par Intel (en collaboration avec Apple) qui permet aux utilisateurs de consolider le transfert de données, le chargement et les périphériques vidéo avec un seul connecteur. Alors qu’Apple a introduit les ports Thunderbolt pour la première fois sur son MacBook Pro en 2011, la technologie a également été largement adoptée par différentes marques de PC tels que Dell, HP et Lenovo. Les chercheurs affirment que tous les appareils équipés de Thunderbolt et qui ont été fabriqués avant 2019 sont vulnérables. Des millions d’appareils sont donc concernés.

thunderbolt thunderspy

Pour lancer l’attaque Thunderspy, il faut avoir un accès physique à l’appareil. Cependant, l’attaque peut être lancée en quelques minutes et ne nécessite que l’utilisation d’un ordinateur équipé de Thunderbolt, d’un tournevis et de certains matériels portables. Les pirates pourraient alors contourner les mesures de sécurité et accéder aux données même si l’appareil cible est verrouillé et que son disque dur est chiffré.

«Thunderspy est furtif, ce qui signifie que vous ne pouvez trouver aucune trace de l’attaque. L’attaque ne nécessite aucune intéraction, c’est-à-dire qu’il n’y a pas de lien d’hameçonnage ou de matériel malveillant que le pirate vous incite à utiliser », a déclaré Björn Ruytenberg, un chercheur en sécurité actuellement étudiant à l’Université de technologie d’Eindhoven. «Thunderspy fonctionne même si vous suivez les meilleures pratiques de sécurité en verrouillant ou en mettant en veille votre ordinateur lorsque vous le quittez brièvement, ou si votre administrateur système a configuré l’appareil avec Secure Boot, un BIOS et des mots de passe solides et activé le chiffrement complet du disque.»

L’attaque ThunderSpy

En se basant sur une multitude de failles liées aux mesures de sécurité du protocole Thunderbolt, Ruytenberg a développé neuf scénarios d’attaque décrivant comment les vulnérabilités pourraient être exploitées par une entité malveillante pour accéder aux systèmes des victimes.

Dans une vidéo de preuve de concept, Ruytenberg a démontré l’une des attaques Thunderspy qui pourraient être lancées en quelques minutes. Il a mené cette attaque à l’aide d’un tournevis, d’un dispositif de programmation SPI (Serial Peripheral Interface) et d’un périphérique Thunderbolt (équipement coûtant environ 370€). Un périphérique SPI est un bus d’interface couramment utilisé pour envoyer des données entre des microcontrôleurs et de petits périphériques.

Dans la vidéo, Ruytenberg a montré qu’il était en mesure de dévisser le panneau inférieur d’un ThinkPad équipé de Thunderbolt pour accéder à son contrôleur Thunderbolt, puis de fixer le dispositif de programmation SPI à l’aide d’un clip SOP8 (qui est un morceau de matériel qui se fixe aux broches des contrôleurs).

Le programmeur SPI peut ensuite réécrire le firmware de la puce pour finalement désactiver ses paramètres de sécurité, permettant à Ruytenberg de se connecter à l’appareil en cinq minutes environ, sans mot de passe.

Le problème Thunderbolt

Au fil des ans, les ports Thunderbolt ont causé des problèmes de sécurité. En effet, pour permettre l’utilisation de large bande passante et à faible latence (comme les cartes graphiques externes), l’interface Thunderbolt expose le domaine PCI Express (PCIe) interne du système aux périphériques externes. Par conséquent, les périphériques Thunderbolt possèdent des E/S (Entrées/Sorties) activées par accès direct à la mémoire (DMA), ce qui permet de lire et d’écrire toute la mémoire système sur un PC.

En 2019, les chercheurs ont révélé un ensemble de vulnérabilités baptisées collectivement «Thunderclap» qui mettaient les ordinateurs en danger. En raison de la communication des périphériques Thunderbolt via le protocole PCIe, un attaquant pourrait abuser de la faille en persuadant un utilisateur de connecter un périphérique légitime – mais équipé d’un cheval de Troie.

thunderbolt thunderspy

Pour se protéger contre ces failles, les fournisseurs de matériel et de systèmes d’exploitation ont intégré la prise en charge du remappage DMA à l’aide des unités de gestion d’entrée-sortie de la mémoire (IOMMU), ce qui impose des protections de mémoire au DMA. De plus, des contrôleurs Thunderbolt revus ont été introduits comme mesure de contrôle d’accès en utilisant un logiciel qui n’autorise que les appareils de confiance.

Cependant, Ruytenberg a trouvé sept failles liées à ces mesures de sécurité du protocole Thunderbolt, qui pourraient permettre les attaques Thunderspy. Ces failles incluent: des schémas de vérification de micrologiciel inadéquats, un schéma d’authentification de périphérique faible, l’utilisation de métadonnées de périphérique non authentifiées, une attaque de rétrogradation utilisant la compatibilité descendante, l’utilisation de configurations de contrôleur non authentifiées, des déficiences de l’interface flash SPI et un manque de sécurité sur Boot Camp.

Dans un article réagissant aux failles, Intel a souligné que la recherche de Ruytenberg n’était pas nouvelle, mais démontrait plutôt de nouveaux vecteurs d’attaque utilisant un périphérique personnalisé sur des systèmes sur lesquels les atténuations précédentes (y compris les protections DMA du noyau) étaient activées.

Ruytenberg a répondu que la protection DMA du noyau atténue certaines – mais pas toutes – les vulnérabilités de Thunderspy, car les appareils fabriqués avant 2019 n’ont pas de protection DMA du noyau et sont toujours vulnérables. Le seul moyen de prévenir complètement les attaques Thunderspy est de désactiver les ports Thunderbolt depuis le BIOS, a déclaré le chercheur.

Divulgation des failles

Ruytenberg a signalé les failles à Intel le 10 février 2020. Intel a déclaré au chercheur qu’ils étaient au courant des failles et qu’ils ne déploieraient pas d’autres atténuations au-delà de la protection DMA du noyau. Intel ne voulait informé que cinq sociétés, bien que les chercheurs aient déclaré que 11 autres fabricants ainsi que l’équipe de sécurité du noyau Linux devaient être notifiés.

“Finalement, ils nous ont affirmé qu’ils avaient informé plusieurs fabricants le 25 mars des vulnérabilités et de la divulgation à venir, sans nous donner de détails sur la nature de ces informations et sur qui exactement ils ont contacté”, a déclaré Ruytenberg. «Nous avons contacté plusieurs autres fabricant après avoir réalisé qu’ils avaient été ignorés par Intel.»

Intel, pour sa part, recommande aux utilisateurs du port Thunderbolt de se renseigner auprès des fabricants de leur système afin de déterminer si leur système comporte des mitigations.

“Pour tous les systèmes, nous recommandons de suivre les pratiques de sécurité standard, y compris l’utilisation de périphériques de confiance et d’empêcher l’accès physique non autorisé aux ordinateurs”, selon Jerry Bryant, directeur de communications d’Intel Product Assurance and Security dans un article. “Dans le cadre du Security-First Pledge, Intel continuera d’améliorer la sécurité de la technologie Thunderbolt, et nous remercions les chercheurs de l’Université d’Eindhoven de nous en avoir fait part.”

Ruytenberg prévoit de présenter ses recherches à la conférence Black Hat USA cet été.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x