Le port Thunderbolt des PC et des Mac (dans une moindre mesure) peut devenir une porte d'entrée pour des hackers désireux de récupérer les données stockées dans la RAM de l'ordinateur ou accéder à des fichiers même si la machine est verrouillée.
Cette trouvaille, baptisée "Thunderspy" par le chercheur Björn Ruytenberg de l'Université de Technologie d'Eindhoven, s'appuie sur 7 failles et implique un accès physique à la machine à pirater. Mais il ne prend que quelques minutes et il ne laisse aucune trace. La machine peut très bien aussi être en veille et son écran de login verrouillé au moment de cette manipulation. Les trois versions du Thunderbolt sont concernées.
Le hacker doit ouvrir l'ordinateur de la victime et y brancher momentanément au contrôleur du port Thunderbolt un appareil relié à son propre ordinateur. A partir de celui-ci, il supprimera la protection du port Thunderbolt sur l'autre machine et en reprogrammera rapidement le firmware.
Ceci fait, Björn Ruytenberg montre qu'il peut utiliser le port Thunderbolt, désormais sans protection, avec un autre appareil qui s'occupera de charger dans la RAM un module kernel pour contourner l'écran de login de Windows. C'est l'une des particularités du Thunderbolt que d'avoir un accès direct à la mémoire vive du PC, dans le but d'augmenter la vitesse des échanges de données. L'écran de login sur le PC ainsi attaqué s'affiche correctement mais il n'est plus nécessaire d'en connaître le mot de passe pour accéder à la session utilisateur et son contenu.
Intel a mis au point, il y a un an, un système baptisé Kernel Direct Memory Access qui empêche l'exploitation de certaines des failles utilisées par Thunderspy. Il touche au BIOS des machines mais ne concerne pas celles vendues avant 2019. Il semble que sur ces générations, aucune mise à jour logicielle ne soit possible, celles-ci resteront donc fragiles face à Thunderspy.
HP a déclaré à Wired que ses PC Thunderbolt étaient tous équipés de la protection Kernel DMA depuis le début 2019, mais Lenovo et Dell sont restés dans le flou tant sur les modèles d'avant cette date que sur leurs gammes actuelles, tandis que Samsung n'a pas répondu. On peut rappeler au passage que Microsoft a encore récemment justifié son peu d'appétit pour équiper ses Surface en Thunderbolt, précisément pour des questions de sécurité vis-à-vis de cet accès direct à la RAM.
Côté systèmes d'exploitation, ceux capables d'utiliser cette protection sont macOS 10.12.4 et suivants, Windows 10 1803 RS4 et le kernel Linux 5.x. Le Mac, plus spécifiquement, n'est que « partiellement affecté » par Thunderspy, via 2 failles sur les 7 trouvées. On peut tromper l'ordinateur en lui branchant un périphérique Thunderbolt qui n'est pas celui qu'il croit être, mais il est impossible d'accéder au contenu de la RAM.
La seule option sur Mac est d'utiliser une ancienne faille d'il y a quelques années. En revanche, lorsqu'on utilise Windows ou Linux sur son Mac avec Boot Camp, le niveau de sécurité des ports Thunderbolt est ramené à zéro par l'UEFI du Mac et l'utilisation de Thunderspy devient « triviale ».
