Pour gérer vos consentements :

MacBook : comment vérifier que le firmware n’a pas été modifié par la CIA

Les documents de Wikileaks sur les techniques d’attaque de la CIA commencent déjà à susciter des contre-mesures dans l’industrie. Intel Security vient ainsi de livrer un utilitaire permettant aux utilisateurs de MacBook de vérifier si leur firmware a été modifié ou pas. Cette précaution fait suite à la publication, par Wikileaks, de documents montrant que la CIA a développé un rootkit pour les ordinateurs portables d’Apple. Une sorte de porte dérobée permettant à un pirate de se connecter à distance à l’ordinateur et d’y installer ou désinstaller des composants sans être détecté.

Les documents de la CIA, révélés dans le cadre de l’opération Vault 7 de Wikileaks, font état, au sein de l’entité appelé Embedded Development Branch (EDB) de l’agence, du développement d’un implant pour OS X appelé DerStarke. Cet outil comprend à la fois un module d’injection de code dans le noyau de l’OS (Bokor) et un code malvaillant – DarkMatter – pour le firmware EFI (Extensible Firmware Interface), qui se lance avant même le système d’exploitation des Macbook. EFI, aussi appelée UEFI (U pour unifié), permet d’initialiser différents composants matériels durant le boot des MacBook. Il vient remplacer des Bios plus rustiques, et s’apparente à un mini-OS capable de renfermer des centaines de fonctions.

Assurer la survie du malware de l’OS

Son positionnement logique en fait une cible très intéressante pour des assaillants, puisqu’il peut injecter du code dans l’OS et, donc, restaurer un malware qui y fonctionnait mais aurait été détruit. C’est cette caractéristique qui permet aux rootkits de survivre à des mises à jour système et même à des réinstallations. La CIA semble d’ailleurs posséder un second malware pour EFI – QuarkMatter -, qui détourne un driver du firmware pour, une fois encore, assurer la survie du malware implanté dans l’OS.

Face à ces menaces, l’équipe de recherche d’Intel Security publie un nouveau module pour son framework Open Source Chipsec afin de détecter ces binaires pirates. Chipsec, qui tourne sur Windows, Linux, MacOS mais aussi sur un shell EFI, est précisément dédié à l’analyse des composants de bas niveau d’un système (matériel, firmwares…). Le module additionnel permet de comparer une image EFI issue du constructeur à l’état actuel du firmware sur le système ou à une image précédemment extraite d’un système quelconque. La comparaison des binaires avec la liste blanche établie à partir d’un EFI intègre permet de détecter d’éventuelles manipulations et de répertorier les codes suspects à des fins d’analyse.

« Nous conseillons de créer une liste blanche après l’achat du système ou quand vous êtes sûr qu’il n’est pas infecté, expliquent les équipes d’Intel Security. Ensuite, vérifiez le firmware EFI de votre système régulièrement ou à chaque fois qu’un doute existe, par exemple quand votre ordinateur portable a été laissé sans surveillance. » Le site de support d’Apple renferme des liens de téléchargement des différentes versions de EFI.

A lire aussi :

Wikileaks : les outils de hacking de la CIA seront « désarmés » avant publication

La CIA n’a pas cassé le chiffrement de WhatsApp, Signal ou Telegram

La CIA collectionne les outils de hacking d’autres Etats… pour masquer ses traces

Photo via Visual Hunt

Recent Posts

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

1 heure ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

6 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

24 heures ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

1 jour ago

Performance applicative : pas d’analyse sans observabilité ?

Cette année, le Magic Quadrant de l'APM (gestion de la performance applicative) englobe officiellement l'observabilité.…

1 jour ago

Cloud : comment protéger l’Europe de lois à portée extraterritoriale

Arbitrons en faveur d'un niveau élevé de sécurité dans le cadre du schéma européen de…

1 jour ago