Pedro Vilaca, un chercheur spécialisé dans la sécurité du système d’exploitation OS X, vient de découvrir une faille de sécurité inquiétante sur les Mac expédiés avant la mi 2 014 avec le mode veille activé.
Cette vulnérabilité permet de mettre à jour le BIOS du Mac sans privilège de sécurité spécial. Un malfaiteur pourrait ainsi installer un microcode malveillant autorisant à peu près tous les abus, y compris la surveillance et l’installation permanente de portes dérobées.
Comme il s’agit du microcode, une telle attaque survivra à des reformatages du disque dur, tout changement matériel en dehors du changement de carte mère, et toute réinstallation du système d’exploitation.
Trammel Hudson avait déjà montré lors du Chaos Communication Congress (CCC) de 2014 qu’il était théoriquement possible d’attaquer l’EFI (un type de BIOS) à partir d’un appareil Thunderbolt. Une attaque qui fonctionnerait notamment contre tous les Macbook depuis l’introduction du port Thunderbolt en 2011.
La découverte de Vilaca est encore plus inquiétante : d’une part elle n’est pas théorique mais bien reproductible, et d’autre part elle ne nécessite aucun accès physique à l’ordinateur.
La faille de sécurité est la suivante : un processus utilisateur ou un pilote matériel n’a qu’un accès limité et en lecture seule au BIOS, car le système d’exploitation le protège en activant un bit spécial d’un processeur Intel : Flash Configuration Lock-Down (FLOCKDN). Mais quand un Mac sort d’une mise en veille, l’implémentation défectueuse par Apple du mode S3 désactive le bit de protection et tout le monde peut réécrire et remplacer le BIOS.
En publiant un article sur le sujet, Vilaca partait du principe qu’Apple était au courant de ce bogue (puisque les modèles les plus récents ne sont pas affectés). Mais Apple ne l’était pas, il s’agit d’une vulnérabilité jour zéro.
L’auteur minimise la portée de la découverte en affirmant qu’il existe des moyens plus simples de pirater un Mac. Néanmoins, l’exploitation d’une vulnérabilité de Safari ou d’un autre logiciel permettrait à un utilisateur sophistiqué mais nullement professionnel d’exploiter la faille à distance.
Il existe bien un utilitaire pour lire le BIOS, qu’on pourrait utiliser pour vérifier si et quand ce dernier a été modifié par rapport à une date de référence, mais il ne s’agit pas de protection, juste d’information.
La seule protection possible à l’heure actuelle est de désactiver le mode veille sur les Mac.