Posté le mai 11, 2020 à 18:07

LA VULNÉRABILITÉ DE THUNDERBOLT EXPOSE DES MILLIONS D’ORDINATEURS

Depuis des années, les experts en sécurité avertissent qu’il suffit de quelques minutes pour que les hackers s’infiltrent dans un système informatique lorsqu’ils ont un accès physique à l’ordinateur. Un chercheur néerlandais a montré comment les hackers pouvaient compromettre des systèmes physiques en si peu de temps. Il a montré comment les hackers peuvent compromettre un système par le biais de la faille Thunderbolt d’Intel.

Selon Björn Ruytenberg, chercheur à l’Université de technologie d’Eindhoven, la nouvelle méthode d’attaque qu’il a appelée Thunderspy tire parti de la vulnérabilité trouvée dans le port Thunderbolt de millions d’ordinateurs.

Une nouvelle technique d’attaque révèle la vulnérabilité de Thunderbolt

La technique qu’il a utilisée était efficace sur les PC Linux ou Windows équipés de Thunderbolt fabriqués avant 2019. Ruytenberg peut utiliser la méthode de piratage pour contourner la fenêtre de connexion d’un ordinateur verrouillé ou en veille afin d’obtenir le contrôle total de l’ordinateur.

La méthode d’attaque n’est pas trop sophistiquée car il ne faut que quelques minutes pour accéder aux données de l’ordinateur après l’ouverture du boîtier. Avec cette vulnérabilité, elle a ouvert la voie à une nouvelle vague d’attaques pour les acteurs sur des ordinateurs physiquement proches.

Ruytenberg a déclaré qu’il n’y a aucun moyen de corriger la vulnérabilité pour l’instant. La seule chose que l’utilisateur peut faire est de désactiver complètement le port Thunderbolt.

Le port Thunderbolt offre un niveau de sécurité zéro

Les chercheurs en sécurité ont été préoccupés par les problèmes de vulnérabilité de l’interface Thunderbolt d’Intel. Thunderbolt est une fonctionnalité utile dans les ordinateurs car elle permet des vitesses de transfert de données plus rapides vers des périphériques externes, car elle permet un accès plus proche à la mémoire du système par rapport à d’autres ports. Par conséquent, un contact plus direct peut entraîner des problèmes de sécurité, comme l’a expliqué Ruytenberg.

L’année dernière, un groupe de chercheurs a révélé un ensemble de vulnérabilités dans les composants de Thunderbolt appelé Thunderclap. Selon cette révélation, un hacker peut simplement brancher un dispositif malveillant dans le port Thunderbolt d’un ordinateur pour contourner toutes ses mesures de sécurité.

Pour résoudre le problème, les chercheurs en sécurité recommandent aux utilisateurs d’utiliser un dispositif de sécurité Thunderbolt appelé « niveaux de sécurité ». Ils peuvent désactiver entièrement les paramètres de Thunderbolt ou utiliser le dispositif de sécurité pour refuser l’accès aux dispositifs non fiables.

Une fois la fonction Thunderbolt désactivée, le port de vulnérabilité de Thunderbolt deviendrait un simple écran et un port USB. Cependant, grâce à la technique de Ruytenberg, les hackers peuvent contourner les paramètres de sécurité en modifiant le micrologiciel de la puce interne qui contrôle le port Thunderbolt. Le plus intrigant est le fait que la nouvelle technique effectue ce changement sans laisser de trace d’altération qui pourrait être visible sur le système d’exploitation de l’ordinateur.

Selon Tanja Lange, conseillère de Ruytenberg pour la recherche sur les espions et professeur de cryptographie à l’université de technologie d’Eindhoven, Intel a conçu un mur de sécurité contre les attaques de type « Thunderbolt ». Mais le programme de Ruytenberg a franchi toutes ces barrières.

Il existe une méthode préventive, mais elle n’est pas suffisante

Après les recherches de Thunderclap l’année dernière, Intel a mis en place un système de sécurité appelé Kernel Direct Memory Access Protection. L’objectif principal de cette plateforme de sécurité est de bloquer l’attaque Thunderspy de Ruytenberg. Cependant, la sécurité est assez limitée car elle ne couvre pas les systèmes fabriqués avant 2019.

Comme des millions de systèmes plus anciens sont en service, cela signifie que l’attaque Thunderspy pourrait être très efficace si les hackers parvenaient à la reproduire. Cependant, cette vulnérabilité n’est pas efficace sur MacOS mais seulement sur les PC Linux ou Windows.

Ruytenberg développe également un logiciel qui pourrait vérifier si un système particulier est vulnérable à l’attaque et si la protection DMA de Kernal peut être utilisée efficacement sur le système.

Le processus d’attaque de Thunderbolt de Ruytenberg exige que l’individu dévisse le panneau inférieur de l’ordinateur portable pour rendre le contrôleur Thunderbolt facilement accessible. Ensuite, il peut fixer un dispositif de programmation SPI à l’aide d’un clip SOP8. Grâce au programmateur SPI, le hacker peut réécrire le microprogramme de la puce, ce qui permet de contourner les dispositifs de sécurité et de donner un accès complet au hacker.

Ruytenberg a déclaré qu’après avoir analysé le microprogramme, il a découvert qu’il était composé de l’état sécurité du contrôleur.

Il a déclaré qu’il avait « développé des méthodes pour réduire à néant cet état de sécurité ».

Comme l’a également souligné Ruytenberg, le hacker peut connecter un dispositif dans le port Thunderbolt pour désactiver complètement le verrouillage de l’écran. Il a ajouté qu’il avait construit le système pour 400 dollars. Mais un investisseur plus important peut reconditionner l’ensemble du système en une petite unité avec moins de 10 000 dollars.