ESET a
publié une présentation complète des risques découlant de Thunderspy, un
ensemble de vulnérabilités dans la technologie Thunderbolt, et des méthodes de
protection potentielles. Via Thunderspy, un pirate peut modifier, voire
supprimer, les mesures de sécurité de l’interface Thunderbolt d’un ordinateur.
Par conséquent, un pirate ayant un accès physique à l’ordinateur cible peut y
voler des données, même si le chiffrement complet du disque est utilisé, et que
la machine est verrouillée par un mot de passe ou en mode veille.
Thunderspy a été découvert en mai 2020 par
Björn Ruytenberg, un chercheur en sécurité informatique.
« Bien que l’on ait beaucoup parlé des études de M. Ruytenberg en
raison de ce nouveau vecteur d’attaque, on n’a pas dit grand-chose sur la
manière de se protéger de Thunderspy, ni même de déterminer si l’on en a été
victime, » souligne Aryeh Goretsky, Distinguished Researcher chez ESET.
Dans son article « Thunderspy attacks : What they are, who’s at
greatest risk and how to stay safe », M. Goretsky explique brièvement
le contexte technique de Thunderspy mais se concentre principalement sur les
méthodes pratiques pour s’en défendre.
Les attaques contre Thunderbolt sont très
rares car elles sont, de par leur nature, très ciblées. « Le fait qu’un
utilisateur type ne soit pas dans la ligne de mire d’un pirate ne signifie pas
que tout le monde est sain et sauf. Pour beaucoup, suivre certaines des
recommandations draconiennes que nous décrivons dans notre article peut
s’avérer vraiment utile, » commente M. Goretsky.
Il existe deux types d’attaques contre la
sécurité sur laquelle Thunderbolt s’appuie pour garantir l’intégrité d’un
ordinateur. La première consiste à cloner l’identité des appareils Thunderbolt
de confiance qui sont déjà autorisés par l’ordinateur. La seconde consiste à
désactiver de façon permanente la sécurité de Thunderbolt afin qu’elle ne
puisse pas être réactivée.
« L’attaque par clonage ressemble au
vol d’une clé et à sa copie. La clé copiée peut ensuite être utilisée pour ouvrir
la serrure de manière répétée. La seconde attaque ressemble au court-circuitage
d’une puce. Dans ce cas, les niveaux de sécurité de Thunderbolt sont désactivés
en permanence et cette modification est protégée en écriture afin qu’elle ne
puisse être annulée, » explique M. Goretsky.
Aucun des deux types d’attaque ne se fait
simplement, car il faut un accès physique à l’ordinateur cible, ainsi que les
outils nécessaires pour démonter l’ordinateur, y connecter un programmeur
logique, lire le microprogramme de la puce de la ROM flash SPI, le désassembler
et modifier ses instructions, puis réécrire les nouvelles instructions sur la
puce. De telles attaques sont de type « personnel de ménage
malveillant », qui impliquent un scénario dans lequel un pirate entre dans
une chambre d’hôtel pour mener l’attaque pendant que la victime s’est absentée.
La nécessité d’altérer physiquement
l’ordinateur limite l’éventail des victimes potentielles à des cibles de grand
intérêt. Certaines peuvent être visées par des services de renseignement ou des
forces de police, et des cadres, des ingénieurs, du personnel administratif ou
même d’autres salariés d’entreprises peuvent également être des cibles
d’opportunité si le pirate a par exemple pour motif l’espionnage industriel.
Sous des régimes oppressifs, les politiciens, les ONG et les journalistes sont
également des cibles possibles de menaces avancées telles que Thunderspy.
Pour se défendre contre Thunderspy, comme
contre toute autre attaque nécessitant un accès physique au système, il est
important de décider si le but de la défense est de prouver qu’une attaque
physique a eu lieu, ou de s’en protéger.
Les méthodes de protection contre
Thunderspy peuvent être divisées en plusieurs catégories. « Premièrement,
empêchez tout accès non autorisé à votre ordinateur. Deuxièmement, sécurisez
toutes les interfaces et tous les ports pertinents de votre ordinateur, tels
que les ports USB. Enfin, au-delà des mesures physiques, prenez également des
mesures pour renforcer la sécurité des micrologiciels et des logiciels de votre
ordinateur, » résume M. Goretsky.
L’article « Thunderspy attacks : What they are, who’s
at greatest risk and how to stay safe » contient de nombreux conseils
pratiques pour améliorer la sécurité contre le vol de données par Thunderspy. L’un d’entre eux se distingue par sa simplicité et son
efficacité.
« Désactivez les modes veille, veille prolongée ou d’autres modes de
veille hybride. Faites-en sorte que l’ordinateur soit complètement éteint
lorsqu’il n’est pas utilisé. Cela peut empêcher les attaques contre la mémoire
de l’ordinateur via Thunderspy, » recommande M. Goretsky.