Björn Ruytenberg, un chercheurde l’université Eindhoven University of Technology aux Pays-Bas, vient de mettre au jour des failles majeures dans Thuderbolt. Ce dernier est un protocole d’E/S propriétaire intégré dans des puces et promu par Intel. Il est présent dans de nombreux ordinateurs portables, de bureau et certains autres systèmes. Il est destiné à relier les connecteurs rapides PCIe (PCI Express) à des périphériques externes à large bande passante. Il est ainsi approprié pour transporter des images haute définition, des données de cartes graphiques ainsi que des données vidéo vers des moniteurs externes par exemple. L’interface, dans sa version 3 actuellement, supporte un débit allant jusqu’à 40 Gb/s sur une connexion USB-C.
En tant qu’interconnexion vers des périphériques externes, Thunderbolt permet de relier les voies PCI Express (PCIe) internes du système aux périphériques externes qui y sont connectés. Une de ses caractéristiques est d’exposer la mémoire des entrées/sorties disponibles, ce qui permet un accès complet à l’état d’un PC et la possibilité de lire et d’écrire toute la mémoire du système. Et c’est là que se trouve la faille selon Björn Ruytenberg.
Pour mieux comprendre son fonctionnement, nous devons évoquer un certain type d’attaques appelé « evil maid » ou la « bonne maléfique ». Pour réussir ce genre d’attaque, le hacker doit pouvoir accéder physiquement à un portable afin d’y brancher un périphérique corrompu (d’où l’appellation). Pour contrer ce genre d’attaques, l’industrie a rendu obligatoire le support du remappage DMA (Direct Memory Access, l’interface d’accès à la mémoire) en utilisant des unités de gestion de la mémoire d’entrée-sortie (IOMMU), ce qui impose la protection de la mémoire via le DMA.
Cependant, suite à divers problèmes de mise en œuvre, les vendeurs de systèmes d’exploitation ont transformé le remapping DMA en contre-mesure facultative. De leur côté, les contrôleurs Thunderbolt révisés ont intégré une mesure de contrôle d’accès permettant aux utilisateurs d’autoriser uniquement les dispositifs de confiance. Par conséquent, les dispositifs non identifiés sont supposés être interdits d’accès au système, sans l’autorisation préalable de l’utilisateur.
En ce qui concerne Thunderbolt, les études ont principalement porté sur l’utilisation d’attaques DMA et IOMMU au niveau du PCIe. Mais le chercheur a voulu aller plus loin. « Nous avons donc étudié la possibilité de briser la sécurité du protocole Thunderbolt, en analysant le protocole, sa pile logicielle et matérielle, ainsi que la technologie PCIe associée », explique Björn Ruytenberg. Et le résultat est stupéfiant : pas moins de sept vulnérabilités ont été débusquées par le chercheur. « Elles brisent toutes les revendications de sécurité primaire pour Thunderbolt 1, 2 et 3 », s’étonne Björn Ruytenberg. Jusqu’à présent, les recherches de l’universitaire ont permis de découvrir les 7 vulnérabilités suivantes, qu’il a baptisées Thunderspy :
- Systèmes de vérification des microprogrammes inadéquats
- Faiblesse du système d’authentification des dispositifs
- Utilisation de métadonnées de dispositifs non authentifiés
- Attaque utilisant la rétrocompatibilité
- Utilisation de configurations de contrôleurs non authentifiés
- Déficiences de l’interface flash SPI
- Pas de sécurité de type dans le Boot Camp
Pour avoir une idée plus précise et détaillée des trouvailles de Björn Ruytenberg, voici le lien vers son rapport Breaking Thunderbolt Protocol Security : Vulnerability Report 2020.