Une dangereuse faille de sécurité découverte dans l'EFI des Mac
Des chercheurs ont publié sur le site TRMM une découverte potentiellement très dangereuse pour nos Mac. Il existe une faille au niveau de l'EFI, qui permettrait à des pirates de prendre durablement et de manière irréversible le contrôle de nos machines.
Dans leur démonstration, ils ont réussi à écrire du code dans l'EFI de Mac à partir de périphériques Thunderbolt infectés. Il s'avère qu'il existe une faille dans l'implémentation Thunderbolt qui permet de contourner les sécurités mises en place par Apple pour bloquer la modification de l'EEPROM contenant l'EFI. Si l'on écrit du code dedans, il s'exécutera dès le démarrage de la machine et pourra par exemple modifier le noyau d'OS X qui doit se charger pour lui ajouter une porte dérobée.
Le fait de pouvoir écrire dans cette puce permettrait également de modifier les sécurités mises en place par Apple et bloquer toute mise à jour ultérieure de cet EFI pour combler la faille.
En bref, si cette faille est exploitée, elle permettrait à ceux qui arriveraient à prendre le contrôle des Mac à rendre ce dernier permanent et sans reprise de contrôle possible par Apple.
En poussant le vice plus loin les pirates pourraient rendre des Mac totalement incapables de démarrer sauf à aller directement réécrire ces puces (de manière physique) sur la carte mère, une opération aussi délicate que coûteuse.
On voit sur cette capture que les chercheurs ont réussi à modifier l'EFI d'un Mac. Outre le changement d'icône, ils ont modifié aussi les clés RSA intégrées.
Pour finir, il faut noter que cette faille a été dévoilée en juillet 2012, il y a deux ans et demi et qu'Apple n'a pas depuis jugé utile de la combler. Maintenant, il semble que la société soit obligée de le faire dans les plus brefs délais.