MacBook : comment vérifier que le firmware n’a pas été modifié par la CIA

Intel livre un utilitaire permettant de détecter une des techniques d’attaque de la CIA, détaillée dans les documents de Wikileaks : la corruption du firmware des MacBook d’Apple.

Les documents de Wikileaks sur les techniques d’attaque de la CIA commencent déjà à susciter des contre-mesures dans l’industrie. Intel Security vient ainsi de livrer un utilitaire permettant aux utilisateurs de MacBook de vérifier si leur firmware a été modifié ou pas. Cette précaution fait suite à la publication, par Wikileaks, de documents montrant que la CIA a développé un rootkit pour les ordinateurs portables d’Apple. Une sorte de porte dérobée permettant à un pirate de se connecter à distance à l’ordinateur et d’y installer ou désinstaller des composants sans être détecté.

Les documents de la CIA, révélés dans le cadre de l’opération Vault 7 de Wikileaks, font état, au sein de l’entité appelé Embedded Development Branch (EDB) de l’agence, du développement d’un implant pour OS X appelé DerStarke. Cet outil comprend à la fois un module d’injection de code dans le noyau de l’OS (Bokor) et un code malvaillant – DarkMatter – pour le firmware EFI (Extensible Firmware Interface), qui se lance avant même le système d’exploitation des Macbook. EFI, aussi appelée UEFI (U pour unifié), permet d’initialiser différents composants matériels durant le boot des MacBook. Il vient remplacer des Bios plus rustiques, et s’apparente à un mini-OS capable de renfermer des centaines de fonctions.

Assurer la survie du malware de l’OS

Son positionnement logique en fait une cible très intéressante pour des assaillants, puisqu’il peut injecter du code dans l’OS et, donc, restaurer un malware qui y fonctionnait mais aurait été détruit. C’est cette caractéristique qui permet aux rootkits de survivre à des mises à jour système et même à des réinstallations. La CIA semble d’ailleurs posséder un second malware pour EFI – QuarkMatter -, qui détourne un driver du firmware pour, une fois encore, assurer la survie du malware implanté dans l’OS.

Face à ces menaces, l’équipe de recherche d’Intel Security publie un nouveau module pour son framework Open Source Chipsec afin de détecter ces binaires pirates. Chipsec, qui tourne sur Windows, Linux, MacOS mais aussi sur un shell EFI, est précisément dédié à l’analyse des composants de bas niveau d’un système (matériel, firmwares…). Le module additionnel permet de comparer une image EFI issue du constructeur à l’état actuel du firmware sur le système ou à une image précédemment extraite d’un système quelconque. La comparaison des binaires avec la liste blanche établie à partir d’un EFI intègre permet de détecter d’éventuelles manipulations et de répertorier les codes suspects à des fins d’analyse.

« Nous conseillons de créer une liste blanche après l’achat du système ou quand vous êtes sûr qu’il n’est pas infecté, expliquent les équipes d’Intel Security. Ensuite, vérifiez le firmware EFI de votre système régulièrement ou à chaque fois qu’un doute existe, par exemple quand votre ordinateur portable a été laissé sans surveillance. » Le site de support d’Apple renferme des liens de téléchargement des différentes versions de EFI.

A lire aussi :

Wikileaks : les outils de hacking de la CIA seront « désarmés » avant publication

La CIA n’a pas cassé le chiffrement de WhatsApp, Signal ou Telegram

La CIA collectionne les outils de hacking d’autres Etats… pour masquer ses traces

Photo via Visual Hunt