Thunderbolt : des millions d’ordinateurs touchés par des failles, le verrouillage des ordinateurs est inutile
Un chercheur néerlandais a détaillé neuf scénarios d’attaque qui fonctionnent contre tous les ordinateurs équipés de ports Thunderbolt livrés depuis 2011 et qui permettent à un attaquant ayant un accès physique de voler rapidement des données situées sur des disques chiffrés ou bien en mémoire de l’ordinateur.
Le chercheur Björn Ruytenberg a détaillé les attaques dites “Thunderspy” dans un rapport publié dimanche, avertissant que ces attaques fonctionnent même lorsque les utilisateurs suivent les meilleures pratiques de sécurité, telles que le verrouillage d’un ordinateur laissés sans surveillance, la mise en place d’un démarrage sécurisé, l’utilisation d’un mot de passe pour le BIOS l’accès au système d’exploitation, et l’activation du chiffrement complet du disque.
Microsoft était suffisamment préoccupé par la vulnérabilité de Thunderbolt 3 aux attaques par accès direct à la mémoire (DMA) pour choisir de ne pas l’inclure dans ses appareils Surface. Mais certains OEM qui utilisent Windows 10 pour équiper leurs machines ont adopté Thunderbolt. Et tous les ordinateurs Apple Mac depuis 2011 embarquent le port Thunderbolt.
Tous les ordinateurs équipés de Thunderbolt sont vulnérables à Thunderspy
Cette technologie est vulnérable à ce type d’attaque car le contrôleur Thunderbolt – un dispositif PCIe – est doté d’un DMA, qui peut permettre à un attaquant d’accéder à la mémoire du système via un périphérique connecté. Ce risque a été démontré par les failles Thunderclap Thunderbolt divulguées en 2019, qui ont touché les appareils Mac, Linux et Windows.
Toutefois, M. Ruytenberg note que Thunderspy diffère de ces failles, qui s’appuyaient sur le fait de tromper les utilisateurs en leur faisant accepter un appareil malveillant comme appareil de confiance. Thunderspy, en revanche, brise la sécurité matérielle et protocolaire de Thunderbolt.
Si tous les ordinateurs équipés de Thunderbolt sont vulnérables à Thunderspy, Intel, qui développe la technologie Thunderbolt, dit que les attaques sont atténuées au niveau du système d’exploitation avec une protection Kernel Direct Memory Access (DMA), mais cette technologie est limitée aux ordinateurs vendus depuis 2019 seulement.
Thunderspy “casse complètement” les niveaux de sécurité d’Intel
Microsoft a mis en œuvre la protection DMA du noyau dans Windows 1803 pour protéger son système d’exploitation contre les attaques d’accès physique utilisant des périphériques PCI connectés aux ports Thunderbolt 3 sur les périphériques Windows 10 des équipementiers qui ont adopté Thunderbolt, notamment Dell, HP et Lenovo.
Cette fonction de sécurité permet aux pilotes de périphériques de fonctionner dans une partie isolée et en lecture seule. Cependant, Microsoft note également que la protection DMA du noyau “ne protège pas contre les attaques DMA via 1394/FireWire, PCMCIA, CardBus, ExpressCard, etc”.
Le noyau Linux 5.x et plus récent et MacOS Sierra 10.12.4 et plus récent incluent également une protection DMA du noyau (kernel). Intel note que Ruytenberg n’a pas démontré la réussite des attaques DMA sur des ordinateurs avec protection DMA.
Pour Thunderbolt 3, Intel a développé une fonction de gestion des politiques appelée Security Levels qui permet aux administrateurs d’utiliser l’authentification cryptographique pour mettre sur liste blanche les connexions PCIe des périphériques approuvés.
Mais Ruytenberg soutient que Thunderspy “casse complètement” les niveaux de sécurité d’Intel parce que Thunderbolt souffre d’une vérification inadéquate des firmwares, d’une authentification faible des appareils, de l’utilisation de métadonnées non authentifiées des appareils, et est vulnérable aux attaques de downgrade de version.
Intel ne peut pas corriger les défauts de Thunderspy par une mise à jour logicielle
Thunderbolt permet également des configurations de contrôleurs non authentifiés et souffre de déficiences de l’interface flash SPI, tandis que la sécurité de Thunderbolt sur le Boot Camp d’Apple pour l’exécution de Windows 10 sur un Mac est complètement absente, a-t-il constaté. À la lumière des failles de Thunderspy, Intel recommande de n’utiliser que des périphériques de confiance et d’empêcher tout accès physique non autorisé aux ordinateurs.
Les failles permettraient à un attaquant – l’hypothétique employé de l’hôtel qui accède physiquement à un ordinateur sans surveillance par exemple – de saper les contrôles des niveaux de sécurité d’Intel, selon Ruytenberg. “Dans un modèle de menace “evil-maid” et des niveaux de sécurité variables, nous démontrons la capacité de créer des identités de dispositifs Thunderbolt arbitraires, de cloner des dispositifs Thunderbolt autorisés par l’utilisateur et enfin d’obtenir une connectivité PCIe pour effectuer des attaques DMA”, écrit-il.
“En outre, nous montrons les dépassements non authentifiés des configurations de niveau de sécurité, y compris la capacité de désactiver entièrement la sécurité Thunderbolt, et de restaurer la connectivité Thunderbolt si le système est limité à passer exclusivement par USB et/ou DisplayPort”. Il poursuit en démontrant qu’un attaquant peut désactiver de façon permanente la sécurité de Thunderbolt et bloquer toutes les futures mises à jour de firmware.
Selon M. Ruytenberg, Intel ne peut pas corriger les défauts de Thunderspy par une mise à jour logicielle et devra procéder à une refonte du silicium pour résoudre les problèmes. Les bugs pourraient également affecter les prochaines normes USB 4 et Thunderbolt 4.
Très peu de systèmes vendus depuis 2019 prennent effectivement en charge ce dispositif de sécurité
Intel n’a pas publié d’identificateurs CVE pour les vulnérabilités de Thunderspy et ne prévoit pas de publier de correctifs pour les systèmes déjà sur le marché. “Malgré nos efforts répétés, la raison pour laquelle Intel a décidé de ne pas atténuer les vulnérabilités Thunderspy des systèmes sur le marché reste inconnue”, a déclaré M. Ruytenberg.
“Compte tenu de la nature de Thunderspy, nous pensons cependant qu’il serait raisonnable de supposer que ces problèmes ne peuvent être résolus et qu’ils nécessitent une nouvelle conception du silicium. En effet, pour les futurs systèmes mettant en œuvre la technologie Thunderbolt, Intel a déclaré qu’ils incorporeront des protections matérielles supplémentaires”.
M. Ruytenberg note également que très peu de systèmes vendus depuis 2019 prennent effectivement en charge ce dispositif de sécurité. Parmi les modèles qui le font, on trouve les HP EliteBook et ZBook 2019 et plus récents, les Lenovo ThinkPad P53 et X1 Carbon 2019 et plus récents, et le Lenovo Yoga C940, s’il est livré avec le processeur Ice Lake d’Intel.
Apple a également décidé de ne pas proposer de correctif pour Thunderspy.
