15 Jan 2015

Ce que vous devriez savoir sur le Bootkit Thunderstrike pour Mac

Actualité Conseils

Le premier bootkit pour Mac est apparu lors de la 31ème édition de la conférence Chaos Computer Club à Hambourg en Allemagne, le mois dernier.

Thunder

Trammel Hudson, chercheur en sécurité a développé l’attaque et l’a appelée Thunderstrike. Celle-ci exploite une vulnérabilité située en plein cœur du système d’exploitation d’Apple. La vulnérabilité est d’ailleurs à la base du système tout entier. Hudson a contacté Apple et ils auraient réglé le problème dans tous les appareils affectés sauf dans le Macbook.

Aucun doute ici : Thunderstrike, comme tous les bootkits et rootkits, est une menace dangereuse qui peut prendre le contrôle de tout ce que vous réalisez sur votre ordinateur. Cette menace est un peu l’Ebola des menaces informatiques : attraper cette maladie peut avoir des conséquences dévastatrices mais les chances d’être infecté sont relativement minimes.

Les bootkits sont un type de malware rootkit qui vit au cœur du système de démarrage en dessous du système d’exploitation de votre ordinateur, prenant ainsi le contrôle complet des machines infectées. Ils affectent le Master Boot Record (ou  » zone amorce « ) et se lancent lors du démarrage, avant même que le système d’exploitation ne démarre. Même si vous supprimez votre système d’exploitation, le bootkit restera. C’est pourquoi les bootkits sont très résistants à la suppression et même très difficile à trouver, bien que des produits antivirus avancés réussiront à les supprimer.

Thunderstrike est un bootkit pour Mac qui est transmissible directement via hardware ou   par un cable d’accès Thunderbolt. Le premier cas, c’est-à-dire une infection via hardware, est peu probable. Le fabricant aurait besoin d’installer le bootkit ou un pirate devrait démonter votre Mac et installer physiquement la pièce malveillante lui-même.

Néanmoins, le deuxième cas, une infection via une connexion Thunderbolt, est plus envisageable. D’ailleurs, nous disposons d’un terme pour ce type d’attaques : on les appelle les attaques  » evil maid « , ou les attaques sponsorisées par des États dans lesquels des ordinateurs portables sont confisqués et examinés dans les aéroports ou aux frontières par exemple. La même méthode pourrait être appliquée chaque fois que vous vous éloignez de votre appareil.

C’est pourquoi, votre machine ne pourra être contaminée par Thunderstrike que si quelqu’un vous la confisque ou la relie à une connexion Thunderbolt et y installe le logiciel malveillant sur votre Mac à partir d’un appareil périphérique.

Il ne peut pas être supprimé par un logiciel car il contrôle les signatures numériques et les mises à jour. La réinstallation de OS X ne le supprimera pas. Remplacer le SSD ne le supprimera pas non plus puisqu’il n’y a rien de stocké sur le disque.

Certains autres malwares sont moins dangereux mais disposent de taux de transmission bien plus élevés. Pour en terminer avec ma métaphore : un rhume s’attrape dans l’air et pose des risques de contagion bien plus élevés que celui de l’Ebola, bien qu’un simple rhume ne soit normalement pas mortel. De la même manière, un malware conçu pour grignoter la puissance de calcul de l’ordinateur infecté et participer à un botnet n’est pas aussi effrayant que Thunderstrike. Néanmoins, le premier pouvant infecter une machine à distance à travers une injection Web, un e-mail malveillant, un téléchargement drive-by ou encore bien d’autres vecteurs, il représente une nuisance publique bien plus importante.

« Puisqu’il s’agit du premier bootkit pour OS X, il n’existe actuellement aucune manière de détecter sa présence « , a déclaré Hudson.  » Il contrôle le système dès le début, ce qui lui permet d’enregistrer les frappes, y compris les clés de chiffrement du disque, de mettre en place des backdoors dans le noyau OS X et de contourner les mots de passe du micro logiciel.  Il ne peut pas être supprimé par un logiciel car il contrôle les signatures numériques et les mises à jour.  La réinstallation de OS X ne le supprimera pas.  Remplacer le SSD ne le supprimera pas non plus puisqu’il n’y a rien de stocké sur le disque.  »

La meilleure façon de vous protéger contre Thunderstrike est de vous assurer que personne ne peut accéder à votre MacBook quand vous ne l’avez pas sous la main. En d’autres termes, si vous faites attention aux vols, vous devriez être tranquilles.

En attendant, écoutez donc AC/DC.