Thunderspy : de nouvelles failles Thunderbolt permettent d’accéder aux données des ordinateurs

Oups, I did it again…
Systèmes 4 min
Thunderspy : de nouvelles failles Thunderbolt permettent d’accéder aux données des ordinateurs

Thunderbolt est touché par une nouvelle défaillance, nommée Thunderspy, permettant de récupérer l’ensemble des données d’une machine... à condition d’y avoir un accès physique. Intel tempère la découverte, évoquant des procédures de sécurité en place. Mais ce n'est pas si simple.

Il y a un peu plus d’un an, la faille Thunderclap de Thunderbolt 3 faisait parler d’elle. Aujourd’hui, Björn Ruytenberg de l’université d’Eindhoven revient sur le devant de la scène avec Thunderspy détaillée dans une publication scientifique détaillée. Elle a bien évidemment droit à son site dédié.

Ses conséquences peuvent être graves selon le chercheur : « Si votre ordinateur possède un port Thunderbolt, un attaquant qui y accède physiquement [et qui dispose d’un tournevis pour le démonter en partie, ndlr] peut lire et copier toutes vos données, même si votre périphérique de stockage est chiffré, que votre ordinateur est verrouillé ou en veille. Thunderspy est furtif, ce qui signifie que vous ne trouverez aucune trace de l'attaque ».

Neuf attaques sur Windows et Linux, macOS partiellement concerné 

Le chercheur et d’autres experts de son université enfoncent le clou : « Nous avons trouvé sept vulnérabilités dans la conception d'Intel et développé neuf scénarios exploitables sur la façon dont elles pourraient être exploitées par une entité malveillante pour accéder à votre système ».

Les machines sous Windows et Linux sont vulnérables aux neuf attaques, tandis que celles sous macOS ne sont que partiellement concernées par deux d’entre elles.

Thunderspy

Dans la pratique, il faut pouvoir ouvrir le capot arrière du portable afin de flasher le firmware du contrôleur Thunderbolt (une boîte à outils a été mise en ligne). Cette opération ne prendrait pas plus de cinq minutes. En plus de désactiver les sécurités de Thunderbolt, cela permet de bloquer les mises à jour futur du firmware.

Un logiciel open source est mis à disposition sur GitHub afin de vérifier si votre machine – sous Windows ou Linux –est vulnérable à Thunderspy. Une vidéo explicative a aussi également publiée :

Pour Intel, circulez il n‘a rien à voir…

Selon Intel, il n’y aurait (presque rien) de neuf dans cette histoire : « Bien que la vulnérabilité sous-jacente ne soit pas nouvelle et qu’elle ait déjà été corrigée dans des versions des systèmes d’exploitation publiées l’année dernière, les chercheurs ont démontré de nouveaux vecteurs d’attaque potentiels à l’aide d’un dispositif personnalisé sur des systèmes qui n’avaient pas ces mesures d’atténuation activées ».

Selon le géant américain, les protections mises en place sur le noyau Linux 5.x, macOS 10.12.4 et Windows 10 dans sa version 1803 seraient donc suffisantes pour se protéger de Thunderspy. Il ajoute que « les chercheurs n'ont pas démontré d'attaques réussies contre des systèmes avec ces atténuations activées ».

… ou pas selon les chercheurs

Mais selon Wired, tout n’est pas aussi simple : « Cette protection Kernel DMA fait défaut dans tous les ordinateurs fabriqués avant 2019, et elle n'est toujours pas un standard aujourd’hui ». Cela ne contredit certes pas la déclaration d’Intel, mais apporte une nuance très importante : de nombreuses machines seraient vulnérables. 

Nos confrères ajoutent que les chercheurs n’auraient ainsi trouvé « aucune machine Dell dotée de la protection Kernel DMA, y compris celles de 2019 et plus récentes, et ils n'ont pu identifier que quelques modèles HP et Lenovo de 2019 ou plus récent l’utilisant ».

Interrogée par nos confrères, Dell explique que les « clients préoccupés par ces menaces […] éviter de connecter des périphériques inconnus ou non fiables à leur PC » ; les clients apprécieront certainement la réponse. Le fabricant renvoie vers Intel pour plus de détails… qui renvoie à son tour vers les fabricants.

De son côté, HP affirme que la plupart de ses ordinateurs fixes et mobiles sont protégés (c’est le cas de ceux supportant Sure Start Gen5), tandis que Lenovo réfléchit encore à sa réponse sur le sujet et que Samsung n’a pas répondu. Bref, c’est effectivement loin d’être gagné.

Björn Ruytenberg prévoit de revenir plus en détail sur Thunderspy lors de la conférence Black Hat à l’automne 2020. Espérons que cela sera pris en compte pour les périphériques USB4, basé sur Thunderbolt 3

Ce contenu est en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

12 commentaires
Avatar de NSACloudBackup INpactien
Avatar de NSACloudBackupNSACloudBackup- 11/05/20 à 17:19:31

Je ne comprends pas bien qu'es qui est vulnérable. D'un côté il est dit que la faille est corrigé côté noyau (Linux 5.x) et de l'autre, il est écrit "aucune machine Dell dotée de la protection noyau DMA, y compris celles de 2019 et plus récentes". Ce qui sous entends que la correction est matériel. Ou alors il s'agit d'une combinaison d'un matériel (puce dédiée) couplé à un logiciel l'exploitant ?

Donc du coup, pour ce prémunir, matériel ou logiciel ?

J'ai un Dell XPS 15 9550 de 2016 (matériel pré 2019 donc vulnérable) avec une Debian Sid (Linux 5.6, logiciel censé être hors de cause). Suis-je concerné ou pas ?

Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 11/05/20 à 17:23:40

:cartonrouge: Le confinement n'excuse pas tout (le sous-titre).

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 11/05/20 à 18:24:27

(quote:46815:NSACloudBackup) Je ne comprends pas bien qu'es qui est vulnérable. D'un côté il est dit que la faille est corrigé côté noyau (Linux 5.x) et de l'autre, il est écrit "aucune machine Dell dotée de la protection noyau DMA, y compris celles de 2019 et plus récentes". Ce qui sous entends que la correction est matériel. Ou alors il s'agit d'une combinaison d'un matériel (puce dédiée) couplé à un logiciel l'exploitant ?Donc du coup, pour ce prémunir, matériel ou logiciel ?J'ai un Dell XPS 15 9550 de 2016 (matériel pré 2019 donc vulnérable) avec une Debian Sid (Linux 5.6, logiciel censé être hors de cause). Suis-je concerné ou pas ?

Tout est vulnérable (tu as un lien dans l'article vers le PDF), le principe de toutes ces attaques est d'ouvrir le PC de flasher le firmware avec une version piratée : le contrôle de signature du firmware n'est pas systématique et il est possible de flasher un firmware non officiel / troué. Bref rien de choquant sur le principe il y'a peu c'était la norme.

Avatar de Chocolat-du-mendiant Abonné
Avatar de Chocolat-du-mendiantChocolat-du-mendiant- 11/05/20 à 21:42:25

Ce qui est étrange en lisant l'article, c'est la réponse de Dell, : « clients préoccupés par ces menaces […] éviter de connecter des périphériques inconnus ou non fiables à leur PC » Alors que plus haut il est question d'une attaque nécessitant un démontage suffisant pour accéder au contrôleur TB et y flasher un firmware.

Comme si Dell répondait à une autre question.

Dommage, je n'ai vraiment pas le temps de regarder plus en détail.

Tout de même, m'est avis que l'attaque au tournevis + flashage, doit prendre plus de 5min, ce doit plutôt être le flashage tout seul qui prend moins de 5min.

A moins d'être un VIP ciblé par des agents secret qui ont passé 5 semaines à s’entraîner à Shenzen dans les locaux des fameux chinois du FBI.

Mais bon! oui ils ont grave intérêt à corriger ça pour l'USB4.

Avatar de Mr.Nox Abonné
Avatar de Mr.NoxMr.Nox- 11/05/20 à 21:47:17

Je lisais un article ou Microsoft expliquait que leurs dernières Surface n'ont pas le TB à cause de faille de sécurité sauf que la version normalement dispo sur les dernières doit boucher lesdites failles.

Après oui, ce n'est pas e' trois semaines qu'ont change le design d'un produit, mais là c'était tout de même la'nee dernière.

Avatar de pyrignis Abonné
Avatar de pyrignispyrignis- 11/05/20 à 22:02:24

(quote:46823:Chocolat-du-mendiant) [...]Tout de même, m'est avis que l'attaque au tournevis + flashage, doit prendre plus de 5min, ce doit plutôt être le flashage tout seul qui prend moins de 5min.

https://www.youtube.com/watch?v=7uvSZA1F9os Une vidéo de l'exploitation de la vulnérabilité. La vidéo fait 5min 54s et l'attaque commence à la seconde 30. Il me semble qu'une telle attaque pourrait être réalisé le temps de la pause café à une réunion.

Édité par pyrignis le 11/05/2020 à 22:05
Avatar de stratic Abonné
Avatar de straticstratic- 12/05/20 à 05:50:36

(quote:46815:NSACloudBackup) J'ai un Dell XPS 15 9550 de 2016 (matériel pré 2019 donc vulnérable) avec une Debian Sid (Linux 5.6, logiciel censé être hors de cause). Suis-je concerné ou pas ?

D'après ce que j'ai compris, oui car c'est un Dell. À ce jour aucun Dell n'intègre la protection DMA (hardware). Les corrections intervenues au niveau logiciel consistent à mettre en œuvre la protection DMA, si elle est présente...

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 12/05/20 à 06:36:58

(quote:46825:pyrignis) https://www.youtube.com/watch?v=7uvSZA1F9os Une vidéo de l'exploitation de la vulnérabilité. La vidéo fait 5min 54s et l'attaque commence à la seconde 30. Il me semble qu'une telle attaque pourrait être réalisé le temps de la pause café à une réunion.

Il n'a pas remis les vis du portable donc faut au moins 30sec de plus,
il connait parfaitement le modèle de portable et n'a pas hésité pour ponter la puce TB il n'a rien exploité lors de son attaque juste débloquer Windows, il resterait soit à refaire une attaque avec accès physique si le hack est persistant au reboot, soit plus de temps pour trouver / copier des fichiers.

Cette attaque est facilement contournable avec une vis spéciale (ou un point de colle sur une des vis) ou un simple autocollant qui se déchire à l'ouverture pour signifier que le PC (et ces données) sont compromis.

Bref ça fait beaucoup de si, en plus de l'accès physique à une machine laissée allumée sans surveillance. De plus si tu as des données critiques ton PC doit être éteint -et donc chiffré- dès que tu dois t'absenter, ou tu le gardes avec toi à la pause café.

Avatar de DanLo Abonné
Avatar de DanLoDanLo- 12/05/20 à 09:40:40

(quote:46829:fofo9012) [...] Bref ça fait beaucoup de si, en plus de l'accès physique à une machine laissée allumée sans surveillance. De plus si tu as des données critiques ton PC doit être éteint -et donc chiffré- dès que tu dois t'absenter, ou tu le gardes avec toi à la pause café.

Je n'ai lu aucun "si" (ni aucun conditionnel) dans ce que tu as écrit au dessus... ^^" Perso sans connaitre ce PC dans le détail (l'intérieur en tout cas), à partir du moment où tu vois où est le port thunderbolt faut pas plus de 3 secondes pour savoir où se connecter... C'est plutôt toi qui met des "si" en fait :

  • "si tu le garde avec toi"
  • "si tu colles une vis" (comment tu remplace un SSD ou ta ram d'ailleurs dans ce cas là..?)
  • "si tu met un autocollant / une vis spéciale"
  • "si tu laisse pas le temps à l'attaquant d'avoir les 30 sec de plus pour remettre les vis et brancher une clé USB qui installe le spyware qu'il faut pour tout récupérer ensuite à distance

Tu ouvres des portes ouvertes, c'est évident que les attaques physiques sont clairement les plus complexes à mettre en œuvre et les contraintes que tu soulèves sont inhérentes à toutes les attaques physiques. Ça n'enlève pas que la faille existe, et pour certaines entreprises hyper pointilleuses sur la sécurité c'est déjà de trop. La boite dans laquelle j'étais avant, le premier truc qu'ils nous ont dit en entrant c'était de faire hyper gaffe à la sécu parce qu'il y a déjà eu 2 employés qui se sont fait enlevés (avec leurs PC portables du coup) pour leur soutirer des données....

Mais comme tu dis, ça reste une faille physique et pour les 3/4 des gens c'est limite insignifiant, les chances qu'elles soit utilisée est infime. Mais c'est pas le cas de 100% des gens.

Avatar de the_Grim_Reaper Abonné
Avatar de the_Grim_Reaperthe_Grim_Reaper- 12/05/20 à 09:48:26

(quote:46829:fofo9012) ... Effectivement,

  • soit l'attaquant vol le matos et prends tout son temps (PC déjà allumé). Dans ce cas là, le PC peut être vidé à distance, bloqué à distance, ne pas avoir de données sensibles dessus (connexion distante ou support USB chiffré).
  • soit l'attaquant n'a pas plus de 10 minutes, et il prends le temps de placé un malware au passage pour un accès distant à la machine et faire ses courses. Le temps de refermer proprement la machine. Et il a le stock de tournevis qui vont bien en fonction des marques.
  • soit l'attaquant tombe sur une cible pour qui "PC hors des yeux = PC corrompu" ou au moins le coup des points de vérifs. (cas plutôt spécifique)

Sur des PC "perso" t'as plus de chances pour chopper les données de ta cible (chantage ?) ou des bôites pas trop regardantes sur la sécu (pour leurs employés et leurs clients).

Il n'est plus possible de commenter cette actualité.
Page 1 / 2

Votre commentaire

Avatar de lecteur anonyme
Avatar de lecteur anonyme

2000 - 2020 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact