Un antivirus gratuit peut-il vous protéger de Thunderstrike ?
Malgré la réputation de sécurité des appareils Apple, ceux-ci ont fait les frais en décembre 2014 du tout premier bootkit baptisé Thunderstrike, pratiquement indétectable et indélébile, qui exploite une faille située au cœur de l’OS X. Approchée par le concepteur de l’attaque, Trammel Hudson, la firme de Cupertino aurait annoncé le lancement d’un correctif pour tous ses équipements, à l’exception du MacBook.
Comment fonctionne Thunderstrike ?
Sur les ordinateurs infectés, Thunderstrike est logé dans le système de démarrage, dans la zone amorce désignée par Master Boot Record. Il s’exécute aussitôt que la machine se met en marche, c’est-à-dire avant le système d’exploitation.
Deux modes de transmission sont possibles pour un tel bootkit :
– soit par le matériel, par l’installation manuelle d’un composant spécial, une éventualité difficilement envisageable, à moins que le hacker ait pu accéder physiquement au terminal Mac concerné, ou que le fabricant soit en cause ;
– soit au moyen d’un câble Ethernet Thunderbolt reliant un périphérique externe au MacBook afin de permettre le transfert du logiciel malveillant. Cette option est la plus probable, chaque fois que l’ordinateur est laissé sans surveillance de son propriétaire, dans les endroits publics, voire par les autorités ! C’est le cas des attaques dites « evil maid » utilisées par les services gouvernementaux au moment du passage des personnes dans les aéroports, aux postes frontaliers, etc. pour des contrôles. Il suffit de quelques instants, le port Thunderbolt transmettant les données à une vitesse de 10 Gb/s.
Bien que le risque de « contagion » par Thunderstrike soit donc moindre par rapport à d’autres qui passent par Internet (téléchargement, spam, injection Web, etc.), les nuisances occasionnées sont potentiellement désastreuses.
Comment éviter ou se débarrasser de Thunderstrike ?
Si les effets de Thunderstrike sont aussi graves, et son niveau de résistance, si élevé, selon le chercheur en sécurité qui l’a développé, c’est à cause de son emplacement, en amont de toutes les fonctions-clés de la machine.
Même la réinstallation ou la suppression du système ne parvient généralement pas à bout du problème, comme c’est le cas avec la plupart des bootkits, et a fortiori avec celui-ci, qui est le premier pour OS X. Puisqu’il se situe en amont, il a la capacité d’enregistrer les frappes au clavier, incluant les informations de cryptage du disque et les mots de passe. De même, aucune application ne peut être utilisée pour le retirer, puisque les signatures numériques et les mises à jour transitent par lui. Même le remplacement du SSD est sans effet, le virus étant dans le ROM de démarrage et non dans le disque dur.
En attendant qu’Apple trouve un moyen de bloquer l’entrée du code dans la mémoire ROM de démarrage, la technique la plus efficace pour éviter une contamination par Thunderstrike est d’empêcher que des tiers n’y aient accès. Et contre les autres types de malwares provenant du Web, un antivirus gratuit ou payant pour Mac s’impose. Idéalement, un logiciel intégrant une protection anti-rootkit est recommandé pour limiter le danger de ce type de programme malveillant.
N’hésitez pas à télécharger avast, il est gratuit en plus !