Vulnérabilité du firmware

Le spectre des attaques par démarrage à froid fait son retour

L’entreprise de cybersécurité F-Secure a découvert une technique qui permettrait à des pirates d’accéder à presque n’importe quel ordinateur portable en désactivant les protections contre les attaques «cold boot» (par démarrage à froid).

La faille découverte peut être exploitée en accédant physiquement au laptop et en manipulant physiquement le matériel de l’ordinateur. (Source: F-Secure)
La faille découverte peut être exploitée en accédant physiquement au laptop et en manipulant physiquement le matériel de l’ordinateur. (Source: F-Secure)

L’entreprise de cybersécurité finlandaise F-Secure tire la sonnette d’alarme : elle a découvert une nouvelle technique permettant de pirater presque tous les ordinateurs portables actuellement vendus sur le marché, en exploitant une faille du firmware. Les modèles des plus grands fabricants mondiaux sont concernés, ceux d’Apple y compris (à part ses ordinateurs portables embarquant une puce Apple T2).

Deux chercheurs de F-Secure ont découvert comment des cybercriminels qui auraient un accès physique à l’appareil pourraient tirer profit d’une faille dans les mesures mises en place par les fabricants de laptops pour empêcher les attaques de type «cold boot». Connues depuis 10 ans, ces attaques permettent de voler les informations brièvement stockées dans la mémoire vive (RAM) après une coupure de l’alimentation. La méthode de protection développée consiste à écraser le contenu de la mémoire vive aussitôt l’alimentation électrique rétablie, lit-on sur le blog de F-Secure. Les deux chercheurs ont constaté que cette protection pouvait être désactivée en manipulant physiquement le matériel de l’ordinateur à l’aide d’un outil, puis d’autoriser le démarrage à partir de périphériques externes. Par exemple une clé USB, qui exécuterait un programme spécifique pour mener une attaque «cold boot». Via cette manœuvre, les pirates peuvent obtenir des clés de chiffrement, mais aussi des mots de passe, des identifiants réseaux, et même des données stockées, assurent les chercheurs.

Alors que faire pour se prémunir contre ces menaces? F-Secure donne quelques tuyaux aux entreprises: il convient par exemple de rendre obligatoire l’entrée du code PIN Bitlocker lors de la restauration ou de la mise sous tension de l’ordinateur, ainsi que de forcer ces derniers à s’éteindre ou entrer en mode hibernation. Garder les laptops dans un endroit sûr peut évidemment réduire les risques, ainsi que de disposer d’un plan de gestion de crise en cas de vol/disparition d’un appareil.

Les chercheurs de F-Secure font la démonstration de la méthode de piratage découverte dans la vidéo ci-dessous.

Tags
Webcode
DPF8_107536