Intel donne les moyens de vérifier que l'EFI de son Mac n'a pas été compromis, Réactions à la publication du 13/03/2017

[Lionel]

Dans les tonnes de révélations sur les moyens utilisés par la CIA pour espionner les appareils électroniques de ses cibles, on a appris qu'une division était dédiée aux failles iOS.
On a aussi appris que l'agence américaine avait les moyens de modifier l'EFI de Mac pour accéder à leur contenu. Ce point est particulièrement préoccupant car l'EFI est placé à un niveau très bas, avant le système d'exploitation, ce qui rend la détection d'une éventuelle modification très complexe.
Une fois cet EFI modifié injecté sur la machine, il permet un accès à distance et la possibilité d'installer d'autres choses, cette fois au niveau du système d'exploitation de manière totalement silencieuse et sans aucun avertissement.
L'équipe de recherche d’Intel Security a publié un module dédié pour son framework Open Source Chipsec qui permet de vérifier que son UEFI n'a pas été modifié.
https://securingtomorrow.mcafee.com/busines...osure-scanning/


L'outil est disponible à l'adresse suivante:
https://github.com/chipsec/chipsec


Toutefois, nous déconseillons pour le moment son utilisation au grand public car son usage n'est potentiellement pas sans danger. Il est plutôt destiné aux grands groupes et administrations qui sont des cibles bien plus probables à d'éventuelles infections de ce genre.

Lien vers le billet original

[lolo-69]

N'ayant ni la solution de la gravité quantique ou celle du mouvement perpetuel sur mon ordi, je ne les intéresse certainement pas, donc, R.A.B.😎

[Fafnir]

Cela fait deux générations de mes ordinateurs, donc l'imac G3, qu'Apple n'a pas fait faire une mise à jour de la PROM. Est ce que cela correspond à ce qui est indiqué dans la nouvelle?

[Licorne31]

Cela fait deux générations de mes ordinateurs, donc l'imac G3, qu'Apple n'a pas fait faire une mise à jour de la PROM. Est ce que cela correspond à ce qui est indiqué dans la nouvelle?

Non, l'EFI, c'est uniquement pour les MacIntel.

Avec nos vieux clous (PPC), on peut être "raisonnablement et relativement" tranquille.
A condition, bien sûr, de ne pas faire n'importe quoi, et de ne pas donner son mot de passe dès qu'une fenêtre le demande sans bonne raison.

[tenets]

Toutefois, nous déconseillons pour le moment son utilisation au grand public car son usage n'est potentiellement pas sans danger. Il est plutôt destiné aux grands groupes et administrations qui sont des cibles bien plus probables à d'éventuelles infections de ce genre.

Lien vers le billet original
[/quote]
-------------------------------
Merci pour ce post, qui j'espère va faire l'objet d'un suivi sur MB.
L'argument "grands groupes" n'est peut-être pas très pertinent, s'il suffit "d'infecter" des séries de machines et d'attendre de les retrouver dans une "cible".
Androïd vient de faire l'objet de cette méthode.
S'il y a des risques en vérifiant, Intel a certainement émis un warning. Je vais chercher.
Après c'est un calcul risques/bénéfices, en comptant aussi le non chiffrable qu'est le "rassurant".

[Fabricius]

Et c'est en vérifiant, qu'en réalité nous injectons le "hack".

C'est jackpot pour le groupe gouvernemental à 3 lettres !

Le plus simple et de faire croire à la masse qu'elle est infectée et lui offrir un outil de vérification bidon pour finalement l'infecter.

Efficacité extrême :-)

Fabricius

[tenets]

S'il y a des risques en vérifiant, Intel a certainement émis un warning. Je vais chercher.

[/quote]

Suite :

Vu le warning, bien compris que le test est à faire sur une copie du système.
Mais pas compris, s'il faut booter sur la copie pour le faire.
Pas trouvé trace de cette news ailleurs que sur MB, j'ai seulement trouvé ça : https://support.apple.com/fr-fr/HT201518#imac
Si la modification pirate changeait la référence ce serait facile à vérifier ...

[Homer Simpson]

"son usage n'est potentiellement pas sans danger" : on aurait aimé savoir pourquoi !!

[lolo-69]

Et c'est en vérifiant, qu'en réalité nous injectons le "hack".

C'est jackpot pour le groupe gouvernemental à 3 lettres !

Le plus simple et de faire croire à la masse qu'elle est infectée et lui offrir un outil de vérification bidon pour finalement l'infecter.

Efficacité extrême :-)

Fabricius

C'est un peu ce que j'ai pensé en lisant la new.

[Tmps]

...
Vu le warning, bien compris que le test est à faire sur une copie du système.
...

Attention, nuance importante! Le message parle d'une copie de l'UEFI! Pas d'une copie du système qui est, pour beaucoup de personnes, Os X.

Pour les novices, un conseil: oubliez cet article!

[X_Gebo]

Pour les novices, un conseil: oubliez cet article!

Je suis novice en tripotage d'UEFI, et je n'ai aucune envie d'oublier cet article, mais plutôt d'en savoir plus, d'apprendre !

[Tmps]

Pour les novices, un conseil: oubliez cet article!

Je suis novice en tripotage d'UEFI, et je n'ai aucune envie d'oublier cet article, mais plutôt d'en savoir plus, d'apprendre !

J'aurais du préciser les novices qui aiment se lancer dans les manipulations hasardeuses

[roseau]

Pour les novices, un conseil: oubliez cet article!

Je suis novice en tripotage d'UEFI, et je n'ai aucune envie d'oublier cet article, mais plutôt d'en savoir plus, d'apprendre !

J'aurais du préciser les novices qui aiment se lancer dans les manipulations hasardeuses

C'est un peu le dernier truc à bidouiller sauf si tu veux faire du hack

[__otto__]

N'ayant ni la solution de la gravité quantique ou celle du mouvement perpetuel sur mon ordi, je ne les intéresse certainement pas, donc, R.A.B.������

Quand on voit les applications particulièrement visé par la CIA sur android par exemple, ça cible franchement tout sauf le mec qui voudrait passer inaperçu...
Tu n'as sans doute pas la moindre idée de ce qu'une boite comme Palantir peut déduire de tes données...

Ce message a été modifié par __otto__ - 13 Mar 2017, 17:13.

[marcmame]

N'ayant ni la solution de la gravité quantique ou celle du mouvement perpetuel sur mon ordi, je ne les intéresse certainement pas, donc, R.A.B.😎

Bravo ! Sans doute que les dommages créés par une petite usurpation d'identité te réveillera, en attendant, tu reprendras bien une tisane ?

[tenets]

...
Vu le warning, bien compris que le test est à faire sur une copie du système.
...

Attention, nuance importante! Le message parle d'une copie de l'UEFI! Pas d'une copie du système qui est, pour beaucoup de personnes, Os X.

Pour les novices, un conseil: oubliez cet article!

Bon, encore raté, c'est toujours plus compliqué que je ne le pense.
Merci

[Tmps]

...
Bon, encore raté, c'est toujours plus compliqué que je ne le pense.
Merci

Non, pas vraiment compliqué.

Voici un article qui devrait t'aider à mieux comprendre ce qu'est le UEFI :-)

https://lecrabeinfo.net/le-bios-et-luefi-po...-debutants.html

[chombier]

...
Vu le warning, bien compris que le test est à faire sur une copie du système.
...

Attention, nuance importante! Le message parle d'une copie de l'UEFI! Pas d'une copie du système qui est, pour beaucoup de personnes, Os X.

Pour les novices, un conseil: oubliez cet article!

Bon, encore raté, c'est toujours plus compliqué que je ne le pense.
Merci

Leur outil ne va pas écrire dans le firmware, il se contente d'extraire tous les exécutables EFI qu'il trouve. Le Warning indique qu'il vaut mieux éviter de le faire sur machine de production qui pourrait éventuellement planter.
Il faut de plus avoir fait une sauvegarde de ce rapport juste après avoir reçu sa machine toute neuve, et comparer le résultat d'une nouvelle extraction avec cette sauvegarde. Si la machine a déjà été vérolée le jour de sa réception, on ne trouvera rien...

[nicopulse]

L'outil n'a pas l'air trés complexe non plus. En se basant sur : https://github.com/chipsec/chipsec/blob/mas...psec-manual.pdf

1) Il faut booter sur le Recovery OS (cmd + R) pour désactiver SIP
2) Pour decativer SIP il faut lancer le terminal sur cet Recovery OS puis saisir la commande :
# csrutil(1)
3) # csrutil status
doit retourner disabled.

4. Reboot and charger le driver chipsec, lancer le terminal et saisir :
# kextutil chipsec.kext
5. Aller dans le dossier source/tool puis lancer :
# python chipsec_util.py spi info
# python chipsec_util.py spi dump rom.bin
6. Enfin supprimer le driver
# kextunload -b com.google.chipsec
7. Réactiver SIP (refaire 2.)

Mais que doit-on voir si on est infecté ? ou au contraire si tout va bien ?
Quelqu'un a testé ?