ESET a publié une présentation complète des risques découlant de Thunderspy, un ensemble de vulnérabilités dans la technologie Thunderbolt, et des méthodes de protection potentielles. Via Thunderspy, un pirate peut modifier, voire supprimer, les mesures de sécurité de l’interface Thunderbolt d’un ordinateur. Par conséquent, un pirate ayant un accès physique à l’ordinateur cible peut y voler des données, même si le chiffrement complet du disque est utilisé, et que la machine est verrouillée par un mot de passe ou en mode veille.
Thunderspy a été découvert en mai 2020 par Björn Ruytenberg, un chercheur en sécurité informatique. « Bien que l’on ait beaucoup parlé des études de M. Ruytenberg en raison de ce nouveau vecteur d’attaque, on n’a pas dit grand-chose sur la manière de se protéger de Thunderspy, ni même de déterminer si l’on en a été victime, » souligne Aryeh Goretsky, Distinguished Researcher chez ESET.
Dans son article « Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe », M. Goretsky explique brièvement le contexte technique de Thunderspy mais se concentre principalement sur les méthodes pratiques pour s’en défendre.
Les attaques contre Thunderbolt sont très rares car elles sont, de par leur nature, très ciblées. « Le fait qu’un utilisateur type ne soit pas dans la ligne de mire d’un pirate ne signifie pas que tout le monde est sain et sauf. Pour beaucoup, suivre certaines des recommandations draconiennes que nous décrivons dans notre article peut s’avérer vraiment utile, » commente M. Goretsky.
En plus de l’analyse du code du malware, les chercheurs d’ESET ont également mis en place des leurres sous la forme de honeypots pour attirer les exploitant de GMERA et leur donner le contrôle à distance les honeypots. L’objectif des chercheurs était de révéler les motivations de ce groupe de cybercriminels. « D’après les activités dont nous avons été témoins, nous pouvons confirmer que les pirates ont collecté des informations sur les navigateurs, telles que des cookies et l’historique de navigation, des portefeuilles de cryptomonnaie et des captures d’écran, » conclut M. Léveillé.
Pour plus de détails techniques sur la dernière campagne malveillante de GMERA, consultez l’article complet « Mac cryptocurrency trading application rebranded, bundled with malware » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Il existe deux types d’attaques contre la sécurité sur laquelle Thunderbolt s’appuie pour garantir l’intégrité d’un ordinateur. La première consiste à cloner l’identité des appareilsThunderbolt de confiance qui sont déjà autorisés par l’ordinateur. La seconde consiste à désactiver de façon permanente la sécurité de Thunderbolt afin qu’elle ne puisse pas être réactivée.
« L’attaque par clonage ressemble au vol d’une clé et à sa copie. La clé copiée peut ensuite être utilisée pour ouvrir la serrure de manière répétée. La seconde attaque ressemble au court-circuitage d’une puce. Dans ce cas, les niveaux de sécurité de Thunderbolt sont désactivés en permanence et cette modification est protégée en écriture afin qu’elle ne puisse être annulée, » explique M. Goretsky.
Aucun des deux types d’attaque ne se fait simplement, car il faut un accès physique à l’ordinateur cible, ainsi que les outils nécessaires pour démonter l’ordinateur, y connecter un programmeur logique, lire le microprogramme de la puce de la ROM flash SPI, le désassembler et modifier ses instructions, puis réécrire les nouvelles instructions sur la puce. De telles attaques sont de type « personnel de ménage malveillant », qui impliquent un scénario dans lequel un pirate entre dans une chambre d’hôtel pour mener l’attaque pendant que la victime s’est absentée.
La nécessité d’altérer physiquement l’ordinateur limite l’éventail des victimes potentielles à des cibles de grand intérêt. Certaines peuvent être visées par des services de renseignement ou des forces de police, et des cadres, des ingénieurs, du personnel administratif ou même d’autres salariés d’entreprises peuvent également être des cibles d’opportunité si le pirate a par exemple pour motif l’espionnage industriel. Sous des régimes oppressifs, les politiciens, les ONG et les journalistes sont également des cibles possibles de menaces avancées telles que Thunderspy.
Pour se défendre contre Thunderspy, comme contre toute autre attaque nécessitant un accès physique au système, il est important de décider si le but de la défense est de prouver qu’une attaque physique a eu lieu, ou de s’en protéger.
Les méthodes de protection contre Thunderspy peuvent être divisées en plusieurs catégories. « Premièrement, empêchez tout accès non autorisé à votre ordinateur. Deuxièmement, sécurisez toutes les interfaces et tous les ports pertinents de votre ordinateur, tels que les ports USB. Enfin, au-delà des mesures physiques, prenez également des mesures pour renforcer la sécurité des micrologiciels et des logiciels de votre ordinateur, » résume M. Goretsky.
L’article « Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe » contient de nombreux conseils pratiques pour améliorer la sécurité contre le vol de données par Thunderspy. L’un d’entre eux se distingue par sa simplicité et son efficacité. « Désactivez les modes veille, veille prolongée ou d’autres modes de veille hybride. Faites-en sorte que l’ordinateur soit complètement éteint lorsqu’il n’est pas utilisé. Celapeut empêcher les attaques contre la mémoire de l’ordinateur via Thunderspy, » recommande M. Goretsky.
En plus de toutes les autres mesures de sécurité, les utilisateurs devraient utiliser un logiciel de sécurité provenant d’un fournisseur réputé, capable d’analyser le micrologiciel UEFI de l’ordinateur, l’un des endroits où sont stockées les informations de sécurité de Thunderbolt.
Pour plus d’informations, consultez l’article « Thunderspy attacks: What they are, who’s at greatest risk and how to stay safe » sur WeLiveSecurity.com.
