11 Mai, 2020

La faille Thunderbolt permet d’accéder aux données d’un PC en quelques minutes

Electronique, Informatique, Logiciel, Matériel, NTIC, Sécurité, Technologie

Concerne tous les PC compatibles Thunderbolt fabriqués avant 2019, et certains après

Les vulnérabilités découvertes dans la norme de connexion Thunderbolt pourraient permettre aux pirates d’accéder au contenu du disque dur d’un ordinateur portable verrouillé, en quelques minutes, a annoncé un chercheur en sécurité de l’université de technologie d’Eindhoven. Des rapports indiquent que les vulnérabilités affectent tous les PC équipés de la norme Thunderbolt fabriqués avant 2019.

Bien que les pirates aient besoin d’un accès physique à un ordinateur Windows ou Linux pour exploiter les failles, ils pourraient théoriquement accéder à toutes les données en cinq minutes environ, même si l’ordinateur portable est verrouillé, protégé par un mot de passe et dispose d’un disque dur crypté. L’ensemble du processus pourrait être complété par une série de composants prêts à l’emploi ne coûtant que quelques centaines de dollars. Le plus inquiétant est peut-être que le chercheur affirme que les défauts ne peuvent pas être corrigés dans les logiciels, et qu’une refonte du matériel sera nécessaire pour résoudre complètement les problèmes.

Les Macs d’Apple offrent la connectivité Thunderbolt depuis 2011, mais les chercheurs affirment qu’ils ne sont que « partiellement affectés » par Thunderspy s’ils utilisent des MacOS. Le résultat, selon le rapport, est que les systèmes macOS sont vulnérables à des attaques similaires à celles de BadUSB. Il s’agit d’une faille de sécurité apparue en 2014, qui peut permettre à un périphérique USB infecté de prendre le contrôle d’un ordinateur, de voler des données ou d’espionner un utilisateur.

Björn Ruytenberg, le chercheur qui a découvert les vulnérabilités, a publié une vidéo montrant comment une attaque est réalisée. Dans la vidéo, il enlève la plaque arrière et fixe un dispositif à l’intérieur d’un ordinateur portable Lenovo ThinkPad protégé par un mot de passe, désactive sa sécurité et se connecte comme s’il avait son mot de passe. L’ensemble du processus prend environ cinq minutes.

Ce n’est pas la première fois que des préoccupations de sécurité sont soulevées à propos de la technologie Thunderbolt d’Intel, qui repose sur l’accès direct à la mémoire d’un ordinateur pour offrir des vitesses de transfert de données plus rapides. En 2019, des chercheurs en sécurité ont révélé une vulnérabilité de Thunderbolt qu’ils ont appelée « Thunderclap » et qui permettait à du matériel USB-C ou DisplayPort apparemment inoffensif de compromettre un appareil. Ce sont des problèmes de sécurité comme ceux-ci qui expliqueraient pourquoi Microsoft n’a pas ajouté de connecteurs Thunderbolt à ses dispositifs Surface.

Dans un billet de blog en réponse au rapport, Intel affirme que la vulnérabilité sous-jacente n’est pas nouvelle, et qu’elle a été traitée dans les versions de systèmes d’exploitation l’année dernière. Cependant, Wired rapporte que cette protection d’accès direct à la mémoire du noyau n’a pas été universellement mise en œuvre. Les chercheurs en sécurité affirment qu’ils n’ont trouvé aucune machine Dell avec la protection appliquée, et qu’ils n’ont pu vérifier que certains ordinateurs portables HP et Lenovo l’utilisaient.

En fin de compte, Björn Ruytenberg affirme que la seule façon pour les utilisateurs de se prémunir totalement contre une telle attaque est de désactiver les ports Thunderbolt de leur ordinateur dans le BIOS de leur machine, d’activer le cryptage du disque dur et d’éteindre leur ordinateur lorsqu’ils le laissent sans surveillance. Le chercheur a développé un logiciel appelé Spycheck (disponible via le site Thunderspy) qui, selon lui, devrait vous indiquer si votre machine est vulnérable à l’attaque.

Thunderbolt 3 doit être intégré dans la spécification de l’USB 4. Les chercheurs affirment que les contrôleurs et périphériques USB 4 pourraient également être vulnérables et devront être testés une fois disponibles.