Un outil d’investigation permet de lancer des attaques par force brute sur des Mac équipés de la puce de sécurité T2 d’Apple, en neutralisant probablement une fonction de sécurité intégrée à la puce. Le fabricant Passware a ajouté à son logiciel de décryptage de disque dur un « module complémentaire T2 » proposé aux forces de l’ordre et destiné spécifiquement à permettre le décryptage des Mac équipés de la puce T2.
Il s’agit du premier outil de ce type permettant de « récupérer » des mots de passe sur des Macs T2, a indiqué le fabricant.
Sommaire
Puce T2 avec vulnérabilité de la ROM de démarrage
La puce T2 d’Apple est un processeur ARM intégré dans les Macs Intel, qui exécute une version personnalisée du système d’exploitation pour smartwatch d’Apple, watchOS. La puce est intégrée dans de nombreux Mac construits entre 2018 et 2020. La puce T2 contient entre autres un processeur de signal d’image, un contrôleur de gestion du système ainsi qu’un contrôleur SSD – et une « Secure Enclave » pour les tâches de cryptage. Cette dernière est censée empêcher les attaques par force brute en limitant le nombre de tentatives de saisie du mot de passe.
L’entreprise de forensics utilise probablement pour son outil une faille non patchable dans la ROM de démarrage des anciens processeurs A d’Apple, qui constituent également la base du T2. La puce de sécurité T2 est déjà considérée comme compromise depuis 2020. La faille ne semble plus exister dans les Mac M1 plus récents d’Apple. Une demande de détails techniques plus précis auprès de Passware est restée sans réponse. Le module complémentaire est proposé pour près de 2000 euros.
Cassage très lent des mots de passe
Selon les informations de 9to5Mac Passware propose une option de décryptage pour les attaques utilisant des ensembles de données plus importants de mots de passe fréquemment utilisés afin de craquer un Mac dans un avenir proche – cela suppose bien sûr que l’un de ces mots de passe courants y a été utilisé pour le cryptage du disque dur. Selon les informations fournies, l’outil ne peut vérifier qu’environ 15 mots de passe par seconde.
Les outils de force brute pour le cryptage FileVault d’Apple – et d’autres cryptages de disques durs – existent depuis longtemps, la puce T2 n’a manifestement rendu cela que temporairement plus difficile. Une combinaison alphanumérique aléatoire plus longue en guise de mot de passe devrait toutefois continuer à empêcher le cryptage par des tiers dans la plupart des cas.