En 5 minutes, un chercheur néerlandais parvient à s’introduire sur un ordinateur portable verrouillé. Il exploite une vulnérabilité impossible à patcher, présente sur tous les ports Thunderbold des PC portables sortis avant 2019.

« Thunderspy » est un hack rapide, imparable et qui ne laisse pas de trace. Son créateur, le chercheur Björn Ruytenberg de l’Université d’Eindhoven, parvient à ouvrir des sessions fermées de Windows et Linux en 5 minutes montre en main, même si le disque dur de l’ordinateur portable est chiffré. Une fois connecté à l’appareil et avec la session ouverte, il pourrait lancer avec succès tout un éventail d’attaques, de l’espionnage discret au rançongiciel virulent.

Pour parvenir à ses fins, le chercheur exploite une vulnérabilité dans le firmware des ports Thunderbolt, c’est-à-dire dans la couche logicielle du composant informatique. Ce format de connexion informatique, propriété d’Intel, équipe des ports USB, USB-C ou encore des ports dédiés à la charge de l’ordinateur. Si historiquement les ports Thunderbolt équipent les Mac, ils se trouvent aujourd’hui sur de nombreuses marques de PC comme Dell, Lenovo, Razer ou encore HP. Ironiquement, le « Thunderspy » fonctionne sur tous les PC d’avant 2019 testés par le chercheur — soit potentiellement des millions d’appareils –mais il ne fonctionne que partiellement sur les Mac.

celinedion-onnechangepas.gif

Pour exploiter Thunderspy, il faut ouvrir le boîtier de l’ordinateur pendant 5 minutes. // Source : Thunderspy – YouTube

Plus de 400 euros de matériel informatique et un tournevis

En revanche, le hack est loin d’être exploitable par n’importe qui. Pour le mettre en place, il faut être organisé : l’attaquant doit avoir un accès physique à l’ordinateur, deux appareils dédiés au hacking, un autre ordinateur… et un tournevis pour ouvrir le boîtier. Dans sa démonstration (vidéo ci-dessous), Ruytenberg utilise 400 euros de matériel informatique relativement imposant (en plus d’un ordinateur). Mais il a précisé à Wired que pour 10 000 euros, des cybercriminels ou des agences de renseignement pourraient grandement miniaturiser les outils nécessaires.

En conséquence de ces nombreuses conditions, les différents scénarios impliquent que l’attaque soit lancée par des criminels organisés, capables de s’introduire dans l’enceinte d’une entreprise (ou du domicile du particulier) et d’être hors de vue pendant un peu moins d’une dizaine de minutes. Dans le jargon, ce genre d’attaque qui requiert un accès physique à l’appareil est appelé « evil maid attack » (littéralement « attaque à la femme de ménage malveillante »), en référence au cas où l’ordinateur, laissé dans une chambre d’hôtel, serait manipulé par la personne en charge du nettoyage.

Mais l’éventuel hacker doit tout de même avoir quelques connaissances techniques pour manipuler les périphériques de hacking comme ceux utilisés par le chercheur.

« Thunderspy » se limite ainsi à des manœuvres d’espionnage élaborées et ne devrait pas toucher le grand public.

« Thunderspy » ne laisse pas de trace et il est très difficile de s’en protéger

Pour les groupes malveillants efficaces, « Thunderspy » pourrait être un jeu d’enfant à lancer. Dans sa démonstration Ruytenberg commence par ouvrir le boîtier d’un ordinateur portable Lenovo. Il branche ensuite un périphérique pour copier le firmware de Thunderbolt, stocké sur une puce. Il n’a plus qu’à lancer un script fait maison pour modifier le firmware et mettre son niveau de sécurité à zéro, puis installer cette version altérée sur la puce.

C’est sur cette manipulation que le chercheur « perd » du temps, puisque l’ordinateur met un peu plus de 2 minutes à effectuer le changement. Une fois l’étape conclue, le tour est joué : le chercheur n’a plus qu’à lancer une attaque déjà connue à l’aide d’un nouvel appareil pour exploiter l’absence de défense du port Thunderbolt et s’ouvrir l’accès à l’ordinateur. Pour finir, Ruytenberg, revisse le boîtier, installe tout logiciel malveillant qu’il souhaite sur l’ordinateur, et sa victime ne trouvera aucune trace de l’attaque.

Certains nouveaux ordinateurs sont protégés

Problème : d’après le chercheur, la vulnérabilité qu’il exploite ne peut pas être réparée par une mise à jour logicielle. Elle est donc imparable, à moins de désactiver les ports Thunderbolt et d’entraver l’utilisation de l’ordinateur. Mais au moins, sur les nouveaux ordinateurs équipés de Thunderbolt, ce hack n’est pas toujours exploitable.

L’an dernier, après la révélation d’une autre vulnérabilité baptisée Thunderclap, Intel a créé un nouveau mécanisme de sécurité, qui répond au doux nom de Kernel Direct Memory Access Protection (KDMAP). Il s’agit d’une nouvelle couche de sécurité dans les plus basses couches logicielles des périphériques, qui protège également contre l’attaque du chercheur néerlandais. Sauf que KDMAP n’est pas inscrit dans les standards, et par exemple, les modèles les plus récents de PC Dell restent vulnérables.

Le chercheur d’Eindhoven a prévenu Intel en février, avant de rendre publique sa première preuve de concept ce dimanche 10 mai. Il devrait en faire une nouvelle démonstration à la Black Hat, une des plus grandes conférences du secteur.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.