{"id":4194,"date":"2015-01-15T13:21:43","date_gmt":"2015-01-15T13:21:43","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4194"},"modified":"2020-02-26T15:51:09","modified_gmt":"2020-02-26T15:51:09","slug":"bootkit-thunderstrike-mac","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/bootkit-thunderstrike-mac\/4194\/","title":{"rendered":"Ce que vous devriez savoir sur le Bootkit Thunderstrike pour Mac"},"content":{"rendered":"

Le premier bootkit pour Mac est apparu<\/a> lors de la 31\u00e8me \u00e9dition de la conf\u00e9rence Chaos Computer Club \u00e0 Hambourg en Allemagne, le mois dernier.<\/p>\n

Trammel Hudson, chercheur en s\u00e9curit\u00e9 a d\u00e9velopp\u00e9 l\u2019attaque et l\u2019a appel\u00e9e Thunderstrike. Celle-ci exploite une vuln\u00e9rabilit\u00e9 situ\u00e9e en plein c\u0153ur du syst\u00e8me d\u2019exploitation d\u2019Apple. La vuln\u00e9rabilit\u00e9 est d\u2019ailleurs \u00e0 la base du syst\u00e8me tout entier. Hudson a contact\u00e9 Apple et ils auraient r\u00e9gl\u00e9 le probl\u00e8me dans tous les appareils affect\u00e9s sauf dans le Macbook.<\/p>\n

Aucun doute ici\u00a0: Thunderstrike, comme tous les bootkits et rootkits, est une menace dangereuse qui peut prendre le contr\u00f4le de tout ce que vous r\u00e9alisez sur votre ordinateur. Cette menace est un peu l\u2019Ebola des menaces informatiques\u00a0: attraper cette maladie peut avoir des cons\u00e9quences d\u00e9vastatrices mais les chances d\u2019\u00eatre infect\u00e9 sont relativement minimes.<\/p>\n

Les bootkits sont un type de malware rootkit<\/a> qui vit au c\u0153ur du syst\u00e8me de d\u00e9marrage en dessous du syst\u00e8me d\u2019exploitation de votre ordinateur, prenant ainsi le contr\u00f4le complet des machines infect\u00e9es. Ils affectent le Master Boot Record (ou \u00a0\u00bb\u00a0zone amorce\u00a0\u00ab\u00a0) et se lancent lors du d\u00e9marrage, avant m\u00eame que le syst\u00e8me d\u2019exploitation ne d\u00e9marre. M\u00eame si vous supprimez votre syst\u00e8me d\u2019exploitation, le bootkit restera. C\u2019est pourquoi les bootkits sont tr\u00e8s r\u00e9sistants \u00e0 la suppression<\/a> et m\u00eame tr\u00e8s difficile \u00e0 trouver, bien que des produits antivirus avanc\u00e9s r\u00e9ussiront \u00e0 les supprimer<\/a>.<\/p>\n

Thunderstrike est un #bootkit pour #Mac qui est transmissible directement via hardware<\/p>Tweet<\/a><\/blockquote>\n

Thunderstrike est un bootkit pour Mac qui est transmissible directement via hardware ou\u00a0\u00a0 par un cable d\u2019acc\u00e8s Thunderbolt. Le premier cas, c\u2019est-\u00e0-dire une infection via hardware, est peu probable. Le fabricant aurait besoin d\u2019installer le bootkit ou un pirate devrait d\u00e9monter votre Mac et installer physiquement la pi\u00e8ce malveillante lui-m\u00eame.<\/p>\n

N\u00e9anmoins, le deuxi\u00e8me cas, une infection via une connexion Thunderbolt, est plus envisageable. D\u2019ailleurs, nous disposons d\u2019un terme pour ce type d\u2019attaques\u00a0: on les appelle les attaques \u00a0\u00bb\u00a0evil maid\u00a0\u00ab\u00a0, ou les attaques sponsoris\u00e9es par des \u00c9tats dans lesquels des ordinateurs portables sont confisqu\u00e9s et examin\u00e9s dans les a\u00e9roports ou aux fronti\u00e8res par exemple. La m\u00eame m\u00e9thode pourrait \u00eatre appliqu\u00e9e chaque fois que vous vous \u00e9loignez de votre appareil.<\/p>\n

C\u2019est pourquoi, votre machine ne pourra \u00eatre contamin\u00e9e par Thunderstrike que si quelqu\u2019un vous la confisque ou la relie \u00e0 une connexion Thunderbolt et y installe le logiciel malveillant sur votre Mac \u00e0 partir d\u2019un appareil p\u00e9riph\u00e9rique.<\/p>\n

Il ne peut pas \u00eatre supprim\u00e9 par un logiciel car il contr\u00f4le les signatures num\u00e9riques et les mises \u00e0 jour. La r\u00e9installation de OS X ne le supprimera pas. Remplacer le SSD ne le supprimera pas non plus puisqu\u2019il n\u2019y a rien de stock\u00e9 sur le disque.<\/div>\n

Certains autres malwares sont moins dangereux mais disposent de taux de transmission bien plus \u00e9lev\u00e9s. Pour en terminer avec ma m\u00e9taphore\u00a0: un rhume s\u2019attrape dans l\u2019air et pose des risques de contagion bien plus \u00e9lev\u00e9s que celui de l\u2019Ebola, bien qu\u2019un simple rhume ne soit normalement pas mortel. De la m\u00eame mani\u00e8re, un malware con\u00e7u pour grignoter la puissance de calcul de l\u2019ordinateur infect\u00e9 et participer \u00e0 un botnet n\u2019est pas aussi effrayant que Thunderstrike. N\u00e9anmoins, le premier pouvant infecter une machine \u00e0 distance \u00e0 travers une injection Web, un e-mail malveillant, un t\u00e9l\u00e9chargement drive-by ou encore bien d\u2019autres vecteurs, il repr\u00e9sente une nuisance publique bien plus importante.<\/p>\n

\u00ab\u00a0Puisqu\u2019il s\u2019agit du premier bootkit pour OS X, il n\u2019existe actuellement aucune mani\u00e8re de d\u00e9tecter sa pr\u00e9sence\u00a0\u00ab\u00a0, a d\u00e9clar\u00e9 Hudson. \u00a0\u00bb\u00a0Il contr\u00f4le le syst\u00e8me d\u00e8s le d\u00e9but, ce qui lui permet d\u2019enregistrer les frappes, y compris les cl\u00e9s de chiffrement du disque, de mettre en place des backdoors dans le noyau OS X et de contourner les mots de passe du micro logiciel.\u00a0 Il ne peut pas \u00eatre supprim\u00e9 par un logiciel car il contr\u00f4le les signatures num\u00e9riques et les mises \u00e0 jour. \u00a0La r\u00e9installation de OS X ne le supprimera pas.\u00a0 Remplacer le SSD ne le supprimera pas non plus puisqu\u2019il n\u2019y a rien de stock\u00e9 sur le disque.\u00a0\u00a0\u00bb<\/p>\n

La meilleure fa\u00e7on de vous prot\u00e9ger contre Thunderstrike est de vous assurer que personne ne peut acc\u00e9der \u00e0 votre MacBook quand vous ne l\u2019avez pas sous la main. En d\u2019autres termes, si vous faites attention aux vols, vous devriez \u00eatre tranquilles.<\/p>\n

En attendant, \u00e9coutez donc AC\/DC.<\/p>\n