La sécurité physique mise à rude épreuve !

0

Qui n’a pas l’habitude de laisser son ordinateur sous tension après une journée de travail ? L’objectif étant de gagner de précieuses minutes quand on revient sur notre précieux outil. Cette habitude est mise à rude épreuve avec la publication des vulnérabilités sur les ports Thunderbolt. En fait, il s’agit de Thunderclap et de son frère Thunderspy, des vulnérabilités publiées respectivement en 2019 et en cette année.

Comme le montre cette vidéo sous YouTube, ces deux attaques permettent tout simplement de déverrouiller l’ordinateur sous tension en moins de 5 minutes. Ceci permet ainsi d’accéder aux données de notre machine, même quand l’utilisateur active la protection du BIOS/UEFI et/ou effectue le chiffrement du disque dur. Ces attaques sont tellement sournoises qu’elles sont quasiment indétectables. 

Hormis l’outillage technique, le seul prérequis de ces attaques est un accès physique à la machine. De ce fait, la sécurité physique de nos devices n’est jamais devenu un enjeu aussi important. Ces deux vulnérabilités sont liées au contrôleur Thunderbolt doté d’un DMA (Direct Memory Access) activé par défaut. Cela permet à un attaquant d’accéder directement au mémoire physique du système via un périphérique malveillant connecté.

Suis-je vulnérable ?

L’auteur de Thunderspy a développé un outil open-source appelé Spycheck[i] permettant de vérifier si mon PC est vulnérable. D’ailleurs, tous les ordinateurs de 2011 à 2019 sont concernés, quel qu’en soit le constructeur, soit plusieurs millions d’équipements de la nature[ii].

Solutions de protection

Au niveau constructeur, on note la réaction d’Intel après la publication de Thunderclap l’année dernière. En effet, Intel a développé une protection de la DMA. Cependant, cette protection n’est pas partout activée, surtout dans nos vieux ordinateurs d’avant 2019.

Malgré que le chiffrement du disque dur est bypassé, nous ne sommes pas totalement démunies. En effet, nous constatons que les chiffrements caducs sont ceux qui se font à priori, c’est-à-dire avant l’ouverture de session de notre machine. C’est le cas notamment pour les solutions de chiffrement BitLocker de Windowscryptsetup de Linux ou de FileVault de MacOS. Cependant, les chiffrements qui se font à postériori ne peuvent pas être bypassé par ces vulnérabilités, à condition de bien les implémenter. C’est le cas notamment de Keepass, de VeraCrypt ou de cryptsetup. En effet, ces outils permettent de créer des fichiers ou partitions chiffrées qu’on peut accéder une fois la session utilisateur ouverte. Dans ce cas, l’attaquant aura besoin de brute-forcer le mot de passe fort utilisé pour protéger les données chiffrées.

Recommandations pour les utilisateurs

Côté utilisateur, il est recommandé de :

  • Ne connecter à sa machine que les périphériques de confiance ;
  • Ne pas laisser sa machine sans surveillance ;
  • Désactiver la fonctionnalité Thunderbolt quand on ne l’utilise pas[iii] ;
  • Utiliser adéquatement une solution de chiffrement post-ouverture de session (comme VeraCrypt ou cryptsetup)
  • Éteindre sa machine après chaque utilisation ;
  • S’équiper d’une machine possédant la protection DMA.

Ces vulnérabilités n’ont pas cessé de faire couler beaucoup d’encre.


[i] https://github.com/BjornRuytenberg/spycheck-linux

[ii] https://www.wired.com/story/thunderspy-thunderbolt-evil-maid-hacking/

[iii] https://support.microsoft.com/fr-fr/help/2516445/blocking-the-sbp-2-driver-and-thunderbolt-controllers-to-reduce-1394-d

About Author

Oumar DIAO

Dr. Oumar DIAO est un consultant sénior en cybersécurité de BSSI/EVA Group (https://bssi.fr et http://www.evagroup.fr). Docteur en cryptographie, Oumar est un expert technico-fonctionnel de la sécurité de l'information.

Leave A Reply