Thunderbolt est l’interface de marque matérielle développée par Intel. Il agit comme une interface entre l’ordinateur et les périphériques externes. Alors que la plupart des ordinateurs Windows sont livrés avec toutes sortes de ports, de nombreuses entreprises utilisent Thunderbolt pour se connecter à différents types d’appareils. Il facilite la connexion, mais selon des recherches à l’Université de technologie d’Eindhoven, la sécurité derrière Thunderbolt peut être violée en utilisant une technique – Thunderspy . Dans cet article, nous partagerons des conseils que vous pouvez suivre pour protéger votre ordinateur contre Thunderspy.
Qu’est-ce que Tunderspy? Comment ça marche?
C’est une attaque furtive qui permet à un attaquant d’accéder à la fonctionnalité d’accès direct à la mémoire (DMA) pour compromettre les appareils. Le plus gros problème est qu’il ne reste aucune trace car cela fonctionne sans déployer l’esprit de malware ou d’appât de lien. Il peut contourner les meilleures pratiques de sécurité et verrouiller l’ordinateur. Alors, comment ça marche? L’attaquant a besoin d’un accès direct à l’ordinateur. Selon la recherche, cela prend moins de 5 minutes avec les bons outils.
L’attaquant copie le microprogramme du contrôleur Thunderbolt de l’appareil source sur son appareil. Il utilise ensuite un correcteur de micrologiciel (TCFP) pour désactiver le mode de sécurité appliqué dans le micrologiciel Thunderbolt. La version modifiée est copiée sur l’ordinateur cible à l’aide du périphérique Bus Pirate. Un périphérique d’attaque basé sur Thunderbolt est ensuite connecté au périphérique attaqué. Il utilise ensuite l’outil PCILeech pour charger un module du noyau qui contourne l’écran de connexion Windows.
Ainsi, même si l’ordinateur dispose de fonctionnalités de sécurité telles que le démarrage sécurisé, un BIOS solide et des mots de passe de compte de système d’exploitation et un cryptage complet du disque activé, il contournera tout.
CONSEIL : Spycheck vérifiera si votre PC est vulnérable à l’attaque Thunderspy .
Conseils pour se protéger contre Thunderspy
Microsoft recommande trois façons de se protéger contre la menace moderne. Certaines de ces fonctionnalités intégrées à Windows peuvent être exploitées tandis que d’autres doivent être activées pour atténuer les attaques.
Cela dit, tout cela est possible sur un PC à cœur sécurisé. Vous ne pouvez tout simplement pas appliquer cela sur un PC normal car le matériel n’est pas disponible pour le protéger de l’attaque. La meilleure façon de savoir si votre PC le prend en charge est de consulter la section Sécurité de l’appareil de l’application Windows Security.
1/ Protections PC à cœur sécurisé
Windows Defender System Guard Windows Security, le logiciel de sécurité interne de Microsoft, offre Windows Defender System Guard et une sécurité basée sur la virtualisation. Cependant, vous avez besoin d’un appareil qui utilise des PC à cœur sécurisé. Il utilise la sécurité matérielle enracinée dans le processeur moderne pour lancer le système dans un état de confiance. Il permet d’atténuer les tentatives de logiciels malveillants au niveau du micrologiciel.
2/ Protection DMA du noyau
Introduite dans Windows 10 v1803, la protection DMA du noyau veille à bloquer les périphériques externes contre les attaques DMA (Direct Memory Access) à l’aide de périphériques PCI hotplug tels que Thunderbolt. Cela signifie que si quelqu’un essaie de copier le firmware Thunderbolt malveillant sur une machine, il sera bloqué sur le port Thunderbolt. Cependant, si l’utilisateur a le nom d’utilisateur et le mot de passe, il pourra le contourner.
3/ Renforcement de la protection avec l’intégrité du code protégé par hyperviseur (HVCI)
L’intégrité du code protégé par l’hyperviseur ou HVCI doit être activée sur Windows 10. Il isole le sous-système d’intégrité du code et vérifie que le code du noyau n’est pas vérifié et signé par Microsoft. Il garantit également que le code du noyau ne peut pas être à la fois inscriptible et exécutable pour s’assurer que le code non vérifié ne s’exécute pas.
Thunderspy utilise l’outil PCILeech pour charger un module du noyau qui contourne l’écran de connexion Windows. L’utilisation de HVCI veillera à éviter cela car cela ne lui permettra pas d’exécuter le code.
La sécurité doit toujours être au sommet quand il s’agit d’acheter des ordinateurs. Si vous traitez des données importantes, en particulier pour les entreprises, il est recommandé d’acheter des appareils PC à cœur sécurisé. Voici la page officielle de ces appareils sur le site Web de Microsoft.