Björn Ruytenberg, un étudiant de l’université de technologie d’Eindhoven, affirme que tous les ordinateurs fabriqués avant 2019 et dotés d’un ou plusieurs ports Thunderbolt 1, 2 ou 3, sont vulnérables à une attaque de type « evil maid » ou domestique malveillante, dans laquelle une personne malveillante dispose d’un accès physique à l’appareil ciblé.
Il serait possible de contourner l’écran de connexion de l’ordinateur en veille, et même du chiffrement du disque, pour obtenir un accès complet aux données, que l’ordinateur tourne sous Windows, macOS ou Linux.
L’auteur décrit six vulnérabilités, la septième étant spécifique à Apple. Il nomme les attaques Thunderspy. Un site dédié décrit les attaques et propose une foire aux questions.
Les ordinateurs Apple sont partiellement affectés sous macOS, et complètement vulnérables sous Bootcamp.
L’auteur met à disposition un utilitaire, Spycheck, qui permet de vérifier si un ordinateur est vulnérable ou non.
Car la plupart des ordinateurs fabriqués après 2019 ne sont que partiellement vulnérables s’ils sont compatibles avec Kernel DMA Protection : protection de l’accès direct à la mémoire du noyau. Toutefois, l’auteur constate que de nombreux ordinateurs portables fabriqués après 2019, ne sont toujours pas compatibles avec cette protection.
L’attaquant a tout de même besoin d’environ 5 minutes seul avec l’ordinateur ciblé, et des tournevis pour l’ouvrir. Pour une fois, les appareils qui ne s’ouvrent pas, et qui ont pour défauts de ne pas offrir la possibilité de changer des parties du système (disque SSD, mémoire, batterie, etc.), ont l’avantage de ne pas être vulnérables.
Une fois un accès physique à l’ordinateur obtenu, l’attaquant peut utiliser un outil de mise à jour du micrologiciel du contrôleur Thunderbolt, qui désactive toutes les protections prévues pour cette connectique, sans nécessiter d’accès au BIOS ou au système d’exploitation.
Un deuxième utilitaire, SPIblock, transforme le changement en lecture seule : il sera impossible d’installer tout correctif futur.
Le plus problématique est que, d’après l’auteur, la même vulnérabilité affectera les évolutions de Thunderbolt, dont USB 4 et Thunderbolt 4, à moins que des modifications de conception soient effectuées sur les puces des contrôleurs.
L’auteur a l’air de reprocher à Intel une coopération des plus limitées.
En pratique, il nous semble que seule une clientèle professionnelle à haute valeur ajoutée est à risque, et encore, puisque les ports Thunderbolt ne sont pas systématiquement présents sur les ordinateurs portables, à l’exception des MacBook depuis 2011, et qu’obtenir un accès physique n’est pas aisé.
Les spécialistes et les passionnés peuvent lire un rapport détaillé: Björn Ruytenberg. Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020.