mediacongo.net - Actualités - « Thunderspy » : Ce nouveau hack qui exploite un composant très commun et qui permet de déverrouiller un PC en 5 minutes ! 


Retour MC Geek !

« Thunderspy » : Ce nouveau hack qui exploite un composant très commun et qui permet de déverrouiller un PC en 5 minutes !

« Thunderspy » : Ce nouveau hack qui exploite un composant très commun et qui permet de déverrouiller un PC en 5 minutes ! 2020-05-12
http://www.mediacongo.net/dpics/filesmanager/actualite/2020_actu/05-mai/11-17/hack_thunderspy_20_02145.jpg -

En 5 minutes, un chercheur néerlandais parvient à s'introduire sur un ordinateur portable verrouillé. Il exploite une vulnérabilité impossible à patcher, présente sur tous les ports Thunderbolt des PC portables sortis avant 2019.

« Thunderspy » est un hack rapide, imparable et qui ne laisse pas de trace. Son créateur, le chercheur Björn Ruytenberg de l’Université d’Eindhoven, parvient à ouvrir des sessions fermées de Windows et Linux en 5 minutes montre en main, même si le disque dur de l’ordinateur portable est chiffré. Une fois connecté à l’appareil et avec la session ouverte, il pourrait lancer avec succès tout un éventail d’attaques, de l’espionnage discret au rançongiciel virulent.

Pour parvenir à ses fins, le chercheur exploite une vulnérabilité dans le firmware des ports Thunderbolt, c’est-à-dire dans la couche logicielle du composant informatique. Ce format de connexion informatique, propriété d’Intel, équipe des ports USB, USB-C ou encore des ports dédiés à la charge de l’ordinateur. Si historiquement les ports Thunderbolt équipent les Mac, ils se trouvent aujourd’hui sur de nombreuses marques de PC comme Dell, Lenovo, Razer ou encore HP. Ironiquement, le « Thunderspy » fonctionne sur tous les PC d’avant 2019 testés par le chercheur — soit potentiellement des millions d’appareils –mais il ne fonctionne que partiellement sur les Mac.

Plus de 400 euros de matériel informatique et un tournevis

En revanche, le hack est loin d’être exploitable par n’importe qui. Pour le mettre en place, il faut être organisé : l’attaquant doit avoir un accès physique à l’ordinateur, deux appareils dédiés au hacking, un autre ordinateur… et un tournevis pour ouvrir le boîtier. Dans sa démonstration (vidéo ci-dessous), Ruytenberg utilise 400 euros de matériel informatique relativement imposant (en plus d’un ordinateur). Mais il a précisé à Wired que pour 10 000 euros, des cybercriminels ou des agences de renseignement pourraient grandement miniaturiser les outils nécessaires.

En conséquence de ces nombreuses conditions, les différents scénarios impliquent que l’attaque soit lancée par des criminels organisés, capables de s’introduire dans l’enceinte d’une entreprise (ou du domicile du particulier) et d’être hors de vue pendant un peu moins d’une dizaine de minutes. Dans le jargon, ce genre d’attaque qui requiert un accès physique à l’appareil est appelé « evil maid attack » (littéralement « attaque à la femme de ménage malveillante »), en référence au cas où l’ordinateur, laissé dans une chambre d’hôtel, serait manipulé par la personne en charge du nettoyage.

Mais l’éventuel hacker doit tout de même avoir quelques connaissances techniques pour manipuler les périphériques de hacking comme ceux utilisés par le chercheur.

« Thunderspy » se limite ainsi à des manœuvres d’espionnage élaborées et ne devrait pas toucher le grand public.

« Thunderspy » ne laisse pas de trace et il est très difficile de s’en protéger

Pour les groupes malveillants efficaces, « Thunderspy » pourrait être un jeu d’enfant à lancer. Dans sa démonstration Ruytenberg commence par ouvrir le boîtier d’un ordinateur portable Lenovo. Il branche ensuite un périphérique pour copier le firmware de Thunderbolt, stocké sur une puce. Il n’a plus qu’à lancer un script fait maison pour modifier le firmware et mettre son niveau de sécurité à zéro, puis installer cette version altérée sur la puce.

C’est sur cette manipulation que le chercheur « perd » du temps, puisque l’ordinateur met un peu plus de 2 minutes à effectuer le changement. Une fois l’étape conclue, le tour est joué : le chercheur n’a plus qu’à lancer une attaque déjà connue à l’aide d’un nouvel appareil pour exploiter l’absence de défense du port Thunderbolt et s’ouvrir l’accès à l’ordinateur. Pour finir, Ruytenberg, revisse le boîtier, installe tout logiciel malveillant qu’il souhaite sur l’ordinateur, et sa victime ne trouvera aucune trace de l’attaque.

Certains nouveaux ordinateurs sont protégés

Problème : d’après le chercheur, la vulnérabilité qu’il exploite ne peut pas être réparée par une mise à jour logicielle. Elle est donc imparable, à moins de désactiver les ports Thunderbolt et d’entraver l’utilisation de l’ordinateur. Mais au moins, sur les nouveaux ordinateurs équipés de Thunderbolt, ce hack n’est pas toujours exploitable.

L’an dernier, après la révélation d’une autre vulnérabilité baptisée Thunderclap, Intel a créé un nouveau mécanisme de sécurité, qui répond au doux nom de Kernel Direct Memory Access Protection (KDMAP). Il s’agit d’une nouvelle couche de sécurité dans les plus basses couches logicielles des périphériques, qui protège également contre l’attaque du chercheur néerlandais. Sauf que KDMAP n’est pas inscrit dans les standards, et par exemple, les modèles les plus récents de PC Dell restent vulnérables.

Le chercheur d’Eindhoven a prévenu Intel en février, avant de rendre publique sa première preuve de concept ce dimanche 10 mai. Il devrait en faire une nouvelle démonstration à la Black Hat, une des plus grandes conférences du secteur.


numerama / MCP, via mediacongo.net
325 suivent la conversation
0 commentaire(s)

Faites connaissance avec votre « Code MediaCongo »


Vous avez sans doute remarqué un nouveau code à 7 caractères affiché à droite de votre Nom/Pseudo, par exemple « AB25CDF ».
Il s’agit de Votre Code MediaCongo, unique à chaque utilisateur, et qui permet de faire la différence entre utilisateurs ayant le même Nom ou Pseudo.

Nous avons en effet reçu des réclamations d’utilisateurs se plaignant de confusion dans les commentaires ou dans les « Petites annonces » avec d’autres utilisateurs ayant respectivement les mêmes noms.

Notre seul objectif et engagement est de continuer de vous offrir un service de qualité. N’hésitez pas à écrire à support@mediacongo.net si vous avez des questions ou suggestions.


Merci et excellente expérience sur mediacongo.net

MediaCongo – Support Utilisateurs



right
ARTICLE SUIVANT : Le smartphone, un outil d'aide au dépistage du cancer du col de l'utérus
left
ARTICLE Précédent : Android : 38 applications malveillantes téléchargées plus de 20 millions de fois
AUTOUR DU SUJET

« Le défenseur qui me complique beaucoup c’est Glody Ngonda », déclare Meschack Elia

Sport ..,

iPhone : une faille zero-day permet d’espionner vos données personnelles

MC Geek ! ..,

Foot : après sa suspension par la Fecofa, Mechack Elia s’engage avec Young Boys de la Suisse

Sport ..,

Elia Meschack peut provisoirement jouer en Suisse

Sport ..,