Arnaud Malard, un consultant en sécurité à qui l’on doit déjà l’excellente documentation des attaques contre la mémoire des PC sous Windows, récidive avec une nouvelle étude consacrée, cette fois, aux Mac. Arnaud y détaille par le menu les principales méthodes d’attaques physiques contre les Macs. Il démontre que quel que soit le système (Mac ou PC), si un intrus parvient à accéder physiquement à l’ordinateur tous les jeux sont faits. Dans son étude il présente ainsi quelques techniques qui reposent sur des spécificités matérielles et logicielles propre aux Macs.

De l’aveu même du consultant son document ne sera jamais achevé : il compte le mettre à jour au fil des nouvelles attaques découvertes contre le Mac. Dans cette première livraison il revient sur trois domaines principaux : l’exploitation du mode « Cible » propre au Mac (le « Target Mode« ), les attaques contre la RAM et l’exploitation des privilèges utilisateurs, avec notamment une étonnante commande spécifique au Mac.

Le mode Cible

Le « Target Mode » est une spécificité d’Apple pour ses Macs : il suffit de redémarrer n’importe quel Mac en appuyant sur la touche « T » du clavier pour que celui-ci se comporte comme un disque dur externe, auquel l’on peut accéder depuis un autre ordinateur via un câble Firewire. Au delà de l’accès direct aux documents de l’utilisateur il est alors également possible d’extraire les mots de passe du système afin de les casser et ouvrir ainsi une session sur le Mac. Par exemple pour y installer un keylogger ou tout type de code malveillant… Arnaud Malard détaille la procédure pour identifier les fichiers de mots de passe du Mac et les récupérer.

Une fois en mode « Cible » il est également possible de récupérer le trousseau de clés (l’outil système de stockage des mots de passe d’Apple) de n’importe quel utilisateur. Si les mots de passe de session récupérés plus tôt ont pu être cassés il sera alors possible d’ouvrir simplement ce fameux keychain et d’accéder ainsi à tous les autres mots de passe applicatifs de la victime (pour différents réseaux WiFi, des applications, ses comptes de messagerie, etc…)

Si ce n’est pas le cas il restera l’espoir de pouvoir casser le chiffrement du keychain par force brute. Et ça tombe bien car il existe justement un outil pour ça, développé pour le Mac : crowbarKC. Bien entendu, il faudra alors disposer d’un bon dictionnaire et espérer que les mots de passe ne soient pas particulièrement bien choisis…
Notons aussi que les fichiers du trousseau de clé sont en temps normal protégés et ne peuvent pas être manipulés par un autre utilisateur. En mode « Cible », en revanche, rien de tel et tous les fichiers sont librement accessibles.

La même méthode pourra également être utilisée si l’utilisateur a chiffré son répertoire avec l’utilitaire FileVault (dans une version antérieure à MacOS Lion). En accédant au disque interne du Mac en mode « Cible » il est en effet impossible d’accéder à ses données car celles-ci sont chiffrées par FileVault. Toutefois le volume créé par ce dernier est une simple image de disque qu’il est possible de copier et de monter sur un autre Mac. Un mot de passe sera alors demandé, que l’attaquant aura alors tenté d’identifier, comme ci-dessus, via l’une ou l’autre des attaques par force brute (John The Ripper sur un Linux à côté, ou crowbarKC sur un Mac, par exemple).

Les « bonnes vieilles méthodes »

Qui dit accès physique à l’ordinateur dit game over. Et cela même sans passer par la technique du mode « Cible » évoquée ci-dessus. Comme n’importe quel autre système le Mac peut ainsi être démarré depuis une clé USB ou un CD-ROM dit « bootable« , ce qui ouvrira évidemment l’accès au disque dur depuis le système démarré.

Mais il y a encore plus simple, grâce cette fois à une technique propre aux Macs : le démarrage en « Single Mode » (en appuyant sur Pomme + S au démarrage). Si aucun mot de passe OpenFirmware n’a été défini (ce qui est pas le cas par défaut) l’on se retrouve directement en ligne de commande avec les droits du système, sans autre formalité.

Enfin, il est également possible de ré-initialiser le mot de passe administrateur depuis le CD d’installation de Mac OS, qui n’est pas très difficile à se procurer…

Le Mac a (aussi) la mémoire qui flanche

Sans grande surprise Arnaud Malard adapte ici au Mac les techniques développées dans son étude « J’ai la mémoire qui flanche« , destinée initialement à Windows (et que nous vous conseillons de lire si ce n’est pas encore le cas !).

L’on y retrouve les mêmes approches, du dump de la mémoire (avec les droits administrateur) à l’accès via Firewire en temps réel. Seuls les outils changent (MacMemoryReader), ainsi que quelques techniques. Arnaud propose même un script de son cru pour automatiser la chose, en s’appuyant sur la librairie Linux libforensic1394.

Enfin, en guise de troisième solution l’étude propose aussi de récupérer le fichier d’image de la mémoire écrit par le système lors de la mise en veille, et d’y appliquer les mêmes traitements que les images disques chiffrées ci-dessus (la clé de l’image mémoire chiffrée serait stockée elle aussi dans le keychain).

Le résultat final de ces approches dépendra de l’état de la machine au moment du dump de la mémoire (en veille ou non, par exemple). Il pourra par exemple être possible d’extraire quantité de secrets, à commencer par les mots de passe de nombreux services en ligne, exactement comme démontré dans « J’ai la mémoire qui flanche« .

Exploitation locale

Enfin, Arnaud Malard s’intéresse au cas de l’intrus ayant accès à un compte utilisateur sur le Mac de sa victime et souhaitant aller plus loin. Il démontre notamment comment avec une seule ligne de commande il est possible de lister en clair tous les mots de passe du compte utilisateur (comptes emails, etc…). C’est là une attaque physique rapide qui devrait vous motiver à verrouiller votre session lorsque vous quittez votre écran… même pour quelques minutes !

Bien entendu depuis un compte utilisateur traditionnel l’escalade vers les droits systèmes est toujours envisageable. Car sous Mac OS nous sommes dans une configuration Unix / Linux classique qui offre donc les mêmes opportunités (accès au fichier password, scripts SUID, mots de passe en dur, etc…). Et il est même possible d’utiliser, via les MacPorts, un bon vieux Metasploit. Mais nous ne sommes plus là dans le domaine des attaques spécifiques au Mac.

Comment se protéger ?

Si Arnaud Malard n’aborde pas les contre-mesures, c’est qu’en bon expert de la sécurité il sait que dès lors qu’un attaquant peut accéder physiquement à l’ordinateur de sa victime, tous les jeux sont faits. Les puristes pourront ainsi certainement reprocher à cette étude d’enfoncer des portes ouvertes.

Mais son intérêt est ailleurs : elle contribuera au moins à sensibiliser les utilisateurs de Mac à l’idée qu’ils ne sont pas au dessus des règles élémentaires de sécurité, et elle rappellera quelques bonnes habitudes à prendre :

• Verrouiller sa session dès que l’on quitte le clavier, même quelques instants (menu Pomme > suspendre l’activité).
• Ne laisser quiconque utiliser sa session personnelle (préférer lui ouvrir une session invité, même pour quelques minutes)
• Définir un mot de passe dans OpenFirmware (le « Bios » du Mac)
• Utiliser des mots de passe forts et variés (plus facile à dire qu’à faire… mais absolument vital !)
• Ne pas laisser le navigateur enregistrer ses mots de passe
• Activer FileVault (et préférer MacOS X Lion pour son chiffrement intégral du disque, qui protège aussi les fichiers de mot de passe du système)
• Ne pas laisser traîner son Mac sans surveillance (au coffre lorsque l’on est à l’hôtel, avec soi sinon). Contraignant, mais vital là aussi.

A défaut d’empêcher toute intrusion, ces quelques bonnes habitudes rendront la tâche plus difficile.