Ouvrir le menu principal

MacGeneration

Recherche

Le programme de démarrage des Mac encore hacké

Stéphane Moussie

mardi 02 juin 2015 à 15:19 • 16

Mac

Six mois après Thunderstrike, la sécurité du Mac est encore mise à mal par l'intermédiaire de son programme de démarrage (l'EFI). Et cette fois, pas besoin d'un accès physique.

Le chercheur en sécurité Pedro Vilaca, aussi connu sous le pseudo fG!, a découvert un exploit qui permet de modifier à distance l'EFI et ainsi de prendre le contrôle de la machine dès l'allumage et de manière très persistante. Sont concernés tous les Mac sortis avant mi-2014.

L'exploit consiste à attaquer les protections du programme de démarrage juste après la sortie de veille. Le programme est normalement protégé par un dispositif baptisé FLOCKDN qui empêche l'écriture, mais pour une raison inconnue celui-ci n'est pas actif dans ce cas de figure.

En exploitant une autre vulnérabilité permettant de s'arroger les droits administrateurs (par exemple Rootpipe), l'attaquant peut modifier l'EFI. « Les rootkits BIOS (l'autre appellation du programme de démarrage, ndr) sont plus puissants que les rootkits normaux car ils fonctionnent à un niveau inférieur et peuvent résister à une réinstallation de la machine et à une mise à jour du BIOS », a expliqué Pedro Vilaca à Ars Technica.

Il estime que cette attaque n'est pas susceptible d'être utilisée à grande échelle. En revanche, il pense qu'elle pourrait être utilisée pour des opérations très ciblées.

Les Mac sortis à partir de mi-2014 sont immunisés. Le chercheur ne sait pas si Apple a bouché discrètement cette vulnérabilité ou si cela a été résolu par accident. Selon lui, il n'y a pas grand-chose à faire pour se prémunir de cet exploit, si ce n'est désactiver le mode veille. Pour cela, il faut pousser la réglette des préférences d'économie d'énergie sur « Jamais ».

Les utilisateurs les plus aguerris peuvent installer un utilitaire, créé par celui qui a découvert Thunderstrike, qui sert à comparer le firmware de son Mac avec celui d'Apple pour voir s'il n'a pas été altéré.

OS X 10.11 inaugurerait un nouveau système de sécurité, nommé Rootless, qui bloquerait plus strictement l'accès aux éléments systèmes, même si on dispose des droits administrateurs. Une réponse aux grosses failles découvertes ces derniers mois ?

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Le SSD USB4 Corsair EX400U, parfait pour les Mac et les iPhone, en promotion

11:45

• 5


Starlink passe à 29 €/mois avec une connexion moins prioritaire

10:30

• 39


Ubiquiti commercialise son propre adaptateur USB4 vers Ethernet 10G

09:51

• 0


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

08:44

• 27


Apple a envoyé aux développeurs les premières invitations pour la WWDC 2025

07:55

• 6


Promo : l'écran 4K LG UltraFine 32 avec une colonne ERGO est à 423 € (-250 €)

03/04/2025 à 22:30

• 23


Racheter TikTok, un cadeau empoisonné ?

03/04/2025 à 21:20

• 5


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕

03/04/2025 à 20:23

• 62


Tim Cook encaisse 24,19 millions de dollars d’actions restreintes

03/04/2025 à 20:00

• 22


RED et SFR augmentent à leur tour les frais de résiliation de leurs box Internet

03/04/2025 à 18:15

• 5


Pages, Numbers et Keynote passent à Apple Intelligence

03/04/2025 à 17:45

• 17


Guerre commerciale : le cours de l’action Apple en compote

03/04/2025 à 17:00

• 110


Promo Fnac : 100 € en cagnotte pour un MacBook Air M4 ou iPhone 16 Pro et 50 € pour les autres 🆕

03/04/2025 à 16:27

• 1


Les droits de douane décrétés par Donald Trump pourraient frapper Apple et ses clients tous azimuts

03/04/2025 à 15:35

• 60


Coyote : refonte complète de l’application d’aide à la conduite

03/04/2025 à 14:32

• 46


Guerre commerciale : l’Union européenne prête à taxer Apple, Google et les services numériques américains

03/04/2025 à 14:00

• 176