Les MacBook d’Apple menacés par les disques Thunderbolt

En connectant un périphérique Thunderbolt à votre Mac, vous pourriez infecter le micrologiciel de votre machine, sans possibilité de la décontaminer par la suite.

Une nouvelle faille hardware touche spécifiquement les MacBooks d’Apple, sur lesquels vous connectez des périphériques Thunderbolt.

L’attaque Thunderstrike utilise le micrologiciel intégrable dans les périphériques Thunderbold pour infecter celui de la machine. Le boot EFI d’Apple est ainsi remplacé par une version modifiée, qui pourra se répliquer automatiquement sur des disques Thunderbolt, lorsque ces derniers seront connectés à l’ordinateur, facilitant ainsi la propagation du virus.

Installé en lieu et place du micrologiciel EFI des MacBooks, Thunderstrike subsistera si vous tentez de réinstaller le système, et même si vous remplacez le disque dur, puisqu’il n’est pas présent dans l’unité de stockage interne de la machine, mais dans la mémoire flash réservée à son micrologiciel.

Une faille Apple est exploitée

L’installation de ce malware est rendue possible par la présence d’une faille de sécurité dans l’EFI, permettant de mettre ce dernier à jour avec des fichiers dont la signature n’a pas été vérifiée. Une vulnérabilité qui existe depuis maintenant deux ans, et qui n’a toujours pas été corrigée par Apple.

Au besoin, le firmware pirate pourra s’assurer que ceux d’Apple ne pourront pas être remis en place par la suite. La machine ne pourra ainsi plus être désinfectée.

Cette faille est décrite plus avant par Trammel Hudson, qui la présentera lors du 31^e Chaos Communication Congress, lequel se tiendra en fin d’année à Hambourg, en Allemagne.

Lire aussi : Apple fait volte-face sur les PWA : la lettre et l’esprit du DMA ?