ESET a publié une présentation complète des risques découlant de Thunderspy, un ensemble de vulnérabilités dans la technologie Thunderbolt, et des méthodes de protection potentielles. Via Thunderspy, un pirate peut modifier, voire supprimer, les mesures de sécurité de l’interface Thunderbolt d’un ordinateur. Par conséquent, un pirate ayant un accès physique à l’ordinateur cible peut y voler des données, même si le chiffrement complet du disque est utilisé, et que la machine est verrouillée par un mot de passe ou en mode veille.
Thunderspy a été découvert en mai 2020 par Björn Ruytenberg, un chercheur en sécurité informatique. « Bien que l’on ait beaucoup parlé des études de M. Ruytenberg en raison de ce nouveau vecteur d’attaque, on n’a pas dit grand-chose sur la manière de se protéger de Thunderspy, ni même de déterminer si l’on en a été victime, » souligne Aryeh Goretsky, Distinguished Researcher chez ESET.
Dans son article « Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe », M. Goretsky explique brièvement le contexte technique de Thunderspy mais se concentre principalement sur les méthodes pratiques pour s’en défendre.
Les attaques contre Thunderbolt sont très rares car elles sont, de par leur nature, très ciblées. « Le fait qu’un utilisateur type ne soit pas dans la ligne de mire d’un pirate ne signifie pas que tout le monde est sain et sauf. Pour beaucoup, suivre certaines des recommandations draconiennes que nous décrivons dans notre article peut s’avérer vraiment utile, » commente M. Goretsky.
Il existe deux types d’attaques contre la sécurité sur laquelle Thunderbolt s’appuie pour garantir l’intégrité d’un ordinateur. La première consiste à cloner l’identité des appareils Thunderbolt de confiance qui sont déjà autorisés par l’ordinateur. La seconde consiste à désactiver de façon permanente la sécurité de Thunderbolt afin qu’elle ne puisse pas être réactivée.
« L’attaque par clonage ressemble au vol d’une clé et à sa copie. La clé copiée peut ensuite être utilisée pour ouvrir la serrure de manière répétée. La seconde attaque ressemble au court-circuitage d’une puce. Dans ce cas, les niveaux de sécurité de Thunderbolt sont désactivés en permanence et cette modification est protégée en écriture afin qu’elle ne puisse être annulée, » explique M. Goretsky.
Aucun des deux types d’attaque ne se fait simplement, car il faut un accès physique à l’ordinateur cible, ainsi que les outils nécessaires pour démonter l’ordinateur, y connecter un programmeur logique, lire le microprogramme de la puce de la ROM flash SPI, le désassembler et modifier ses instructions, puis réécrire les nouvelles instructions sur la puce. De telles attaques sont de type « personnel de ménage malveillant », qui impliquent un scénario dans lequel un pirate entre dans une chambre d’hôtel pour mener l’attaque pendant que la victime s’est absentée.
La nécessité d’altérer physiquement l’ordinateur limite l’éventail des victimes potentielles à des cibles de grand intérêt. Certaines peuvent être visées par des services de renseignement ou des forces de police, et des cadres, des ingénieurs, du personnel administratif ou même d’autres salariés d’entreprises peuvent également être des cibles d’opportunité si le pirate a par exemple pour motif l’espionnage industriel. Sous des régimes oppressifs, les politiciens, les ONG et les journalistes sont également des cibles possibles de menaces avancées telles que Thunderspy.
Pour se défendre contre Thunderspy, comme contre toute autre attaque nécessitant un accès physique au système, il est important de décider si le but de la défense est de prouver qu’une attaque physique a eu lieu, ou de s’en protéger.
Les méthodes de protection contre Thunderspy peuvent être divisées en plusieurs catégories. « Premièrement, empêchez tout accès non autorisé à votre ordinateur. Deuxièmement, sécurisez toutes les interfaces et tous les ports pertinents de votre ordinateur, tels que les ports USB. Enfin, au-delà des mesures physiques, prenez également des mesures pour renforcer la sécurité des micrologiciels et des logiciels de votre ordinateur, » résume M. Goretsky.
L’article « Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe » contient de nombreux conseils pratiques pour améliorer la sécurité contre le vol de données par Thunderspy. L’un d’entre eux se distingue par sa simplicité et son efficacité.
« Désactivez les modes veille, veille prolongée ou d’autres modes de veille hybride. Faites-en sorte que l’ordinateur soit complètement éteint lorsqu’il n’est pas utilisé. Cela peut empêcher les attaques contre la mémoire de l’ordinateur via Thunderspy, » recommande M. Goretsky.
En plus de toutes les autres mesures de sécurité, les utilisateurs devraient utiliser un logiciel de sécurité provenant d’un fournisseur réputé, capable d’analyser le micrologiciel UEFI de l’ordinateur, l’un des endroits où sont stockées les informations de sécurité de Thunderbolt.
Pour plus d’informations, consultez l’article « Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe » sur WeLiveSecurity.com.
Contact Presse :
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.