Le premier bootkit pour Mac est apparu lors de la 31e édition de la conférence Chaos Computer Club à Hambourg en Allemagne. Le site Kapersky détaille son contenu et les risques.
Ce bootkit appelé Thunderstrike exploite une vulnérabilité située en plein cœur du système d’exploitation d’Apple. La vulnérabilité est d’ailleurs à la base du système tout entier. Hudson, le chercheur qui a mis en évidence cette faille, a contacté Apple et ils auraient réglé le problème dans tous les appareils affectés sauf dans le Macbook. Thunderstrike, comme tous les bootkits et rootkits, est une menace dangereuse qui peut prendre le contrôle de tout ce que vous réalisez sur votre ordinateur. Les bootkits sont un type de malware rootkit qui vit au cœur du système de démarrage en dessous du système d’exploitation de votre ordinateur, prenant ainsi le contrôle complet des machines infectées. Thunderstrike est un bootkit pour Mac qui est transmissible directement via hardware ou par un cable d’accès Thunderbolt. Le premier cas, c’est-à-dire une infection via hardware, est peu probable. Le fabricant aurait besoin d’installer le bootkit ou un pirate devrait démonter votre Mac et installer physiquement la pièce malveillante lui-même. Néanmoins, le deuxième cas, une infection via une connexion Thunderbolt, est plus envisageable.
Hudson explique qu’il s’agit du premier bootkit pour OS X, et qu’il n’existe actuellement aucune manière de détecter sa présence. D’après Hudson, Thunderstrike contrôle le système dès le début, ce qui lui permet d’enregistrer les frappes, y compris les clés de chiffrement du disque, de mettre en place des backdoors dans le noyau OSX et de contourner les mots de passe du micro logiciel. Toujours selon ce chercheur, il ne pourrait pas être supprimé par un logiciel car il contrôle les signatures numériques et les mises à jour. La réinstallation d’OSX ne le supprimerait pas non plus. Et le remplacement du SSD ne le supprimerait pas non plus puisqu’il n’y a rien de stocké sur le disque.
Pour en savoir plus : http://blog.kaspersky.fr/bootkit-thunderstrike-mac/4194