Ouvrir le menu principal

MacGeneration

Recherche

Le programme de démarrage des Mac encore hacké

Stéphane Moussie

mardi 02 juin 2015 à 15:19 • 16

Mac

Six mois après Thunderstrike, la sécurité du Mac est encore mise à mal par l'intermédiaire de son programme de démarrage (l'EFI). Et cette fois, pas besoin d'un accès physique.

Le chercheur en sécurité Pedro Vilaca, aussi connu sous le pseudo fG!, a découvert un exploit qui permet de modifier à distance l'EFI et ainsi de prendre le contrôle de la machine dès l'allumage et de manière très persistante. Sont concernés tous les Mac sortis avant mi-2014.

L'exploit consiste à attaquer les protections du programme de démarrage juste après la sortie de veille. Le programme est normalement protégé par un dispositif baptisé FLOCKDN qui empêche l'écriture, mais pour une raison inconnue celui-ci n'est pas actif dans ce cas de figure.

En exploitant une autre vulnérabilité permettant de s'arroger les droits administrateurs (par exemple Rootpipe), l'attaquant peut modifier l'EFI. « Les rootkits BIOS (l'autre appellation du programme de démarrage, ndr) sont plus puissants que les rootkits normaux car ils fonctionnent à un niveau inférieur et peuvent résister à une réinstallation de la machine et à une mise à jour du BIOS », a expliqué Pedro Vilaca à Ars Technica.

Il estime que cette attaque n'est pas susceptible d'être utilisée à grande échelle. En revanche, il pense qu'elle pourrait être utilisée pour des opérations très ciblées.

Les Mac sortis à partir de mi-2014 sont immunisés. Le chercheur ne sait pas si Apple a bouché discrètement cette vulnérabilité ou si cela a été résolu par accident. Selon lui, il n'y a pas grand-chose à faire pour se prémunir de cet exploit, si ce n'est désactiver le mode veille. Pour cela, il faut pousser la réglette des préférences d'économie d'énergie sur « Jamais ».

Les utilisateurs les plus aguerris peuvent installer un utilitaire, créé par celui qui a découvert Thunderstrike, qui sert à comparer le firmware de son Mac avec celui d'Apple pour voir s'il n'a pas été altéré.

OS X 10.11 inaugurerait un nouveau système de sécurité, nommé Rootless, qui bloquerait plus strictement l'accès aux éléments systèmes, même si on dispose des droits administrateurs. Une réponse aux grosses failles découvertes ces derniers mois ?

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

00:08

• 15


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 17:44

• 0


Derniers jours Apple week à la Fnac : -10 % sur des MacBook Pro, iPhone 15 Pro à 16 Pro Max et iPad Pro M4

25/04/2025 à 16:00

• 6


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 14:00

• 3


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 21


Razer lance sa première souris ergonomique verticale face à Logitech

25/04/2025 à 12:15

• 9


Yahoo! veut acheter Chrome

25/04/2025 à 10:45

• 32


Slate veut repartir de zéro avec un pick-up électrique compact et épuré pour moins de 20 000 $

25/04/2025 à 10:00

• 99


iPadOS 19 verrait apparaître une barre de menus sur iPad

25/04/2025 à 09:24

• 47


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

25/04/2025 à 09:23

• 46


John Giannandrea aurait aussi perdu l'équipe en charge de la robotique chez Apple

25/04/2025 à 07:39

• 10


Les procès antitrust contre les GAFAM se poursuivent aux USA, malgré les changements de présidence

24/04/2025 à 21:30

• 27


Prise en main de Supercharge, l’app à tout faire qui rend bien des services sur le Mac

24/04/2025 à 20:30

• 17


TSMC annonce la gravure en 1.4 nm, quand la Russie espère atteindre les 28 nm en 2030

24/04/2025 à 20:20

• 52


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

24/04/2025 à 18:17

• 0


Amazon va fêter ses 25 ans en France avec une semaine de promos du 30 avril au 6 mai

24/04/2025 à 17:30

• 18