Apple T2 est un système sur une puce basé sur l’architecture 64 bits ARM v8, qui tourne sur le système d’exploitation BridgeOS 2.0, et qui a pour but de sécuriser les systèmes.
Il fournit une enclave sécurisée pour les clés de chiffrement, chiffre et déchiffre les fichiers à la volée sur SSD, sécurise le démarrage de l’ordinateur.
Il a été lancé avec l’iMac Pro 2017, et a été intégré petit à petit aux autres ordinateurs de la marque : MacBook Pro, MacBook Air, iMac Mini, Mac Pro et iMac 5K.
Des chercheurs en cybersécurité se sont intéressés au T2 depuis quelques années.
Ils ont eu l’idée de modifier checkm8, un exploit pour iPhone développé par @axiomX, en conjonction avec une vulnérabilité du contrôleur de mémoire nommée blackbird, afin de compromettre T2 sous macOS*.
Résultat : il est possible de prendre le contrôle d’un Mac avec puce T2 du moment que l’on a accès à l’ordinateur et un câble USB C spécial, en se plaçant en mode de mise à jour du micrologiciel (Device Firmware Update, DFU), qui est lancé automatiquement quand un appareil n’arrive pas à démarrer, ou en pressant certaines combinaisons de touches.
Les pirates, en plus de l’accès root, le plus privilégié, obtiennent aussi l’accès à des fonctionnalités de débogage qui sont indisponibles normalement dans les appareils usuels.
S’ils n’ont pas un accès direct aux fichiers de l’utilisateur, si ce dernier exploite le chiffrement du disque FileVault2, ils peuvent injecter un enregistreur de touches afin d’obtenir son mot de passe.
Les pirates peuvent altérer l’installation de MacOS et charger des extensions arbitraires du noyau.
Ironiquement, cette vulnérabilité de sécurité ne pourrait pas être neutralisée par une mise à jour du micrologiciel, parce que le code exécuté se trouve dans SecureROM, une mémoire morte.
En d’autres termes, il faudra corriger le silicone, sur de futurs ordinateurs, pour ne plus être vulnérable.
IronPeak, une entreprise de conseil en cybersécurité belge, a tenté à maintes reprises de contacter Apple, y compris son CEO Tim Cook, à ce sujet. Sans avoir obtenu de réponse à ce jour.
Ce qui est étonnant. On aurait espéré d’une entreprise qui présente la sécurité et la protection de la vie privée de ses clients comme avantages compétitifs, plus de coopération, voire une prime dans le cadre des programmes de primes aux bogues.
Dans tous les cas, les personnes à responsabilité qui se déplacent avec leur MacBook ne devront pas le quitter des yeux si elles ne souhaitent pas prendre de risque.
* Ces chercheurs se présentent par leur compte Twitter : @h0m3us3r, @mcmrarm, @aunali1 and Rick Mark (@su_rickmark et se présente comme l’équipe T2.
Ils furent par la suite intégrés à l’équipe checkra1n, qui créa un système complet de prise de contrôle de iOS en tirant parti de checkm8.
Rick Mark détaille toutes les étapes de la recherche sur son blogue.