Une faille découverte dans le clavier Apple

Le magazine Digital Society rapporte que l'expert en sécurité K.Chen, ayant participé au sommet BlackHat 2009, a découvert une vulnérabilité au sein du logiciel interne du clavier Apple. Le firmware peut en effet être modifié afin d'enregistrer les caractères tapés lorsqu'il est branché sur un ordinateur.

Ainsi, si ce clavier venait à être connecté au port USB d'une autre machine il se transformerait en keylogger et pourrait donc potentiellement servir à collecter les identifiants, les mots de passe voire les numéros de cartes bancaires d'un utilisateur. Puisque cette faille concerne le firmware du clavier, il n'est donc pas nécessaire d'installer un logiciel quelconque sur la machine tierce. Cette technique fonctionnerait d'ailleurs dès le boot de l'ordinateur et pourrait alors être utilisée pour récupérer le mot de passe d'une session utilisateur et contourner le système de chiffrement du disque dur.

Afin de modifier le logiciel interne du clavier, il suffirait au hacker d'injecter un petit code d'une centaine de ko, une procédure qui ne prendrait pas plus de 18 secondes. Ensuite, il serait en mesure de prendre le contrôle de l'ordinateur de la victime simplement en lançant une commande pour y introduire un programme malveillant. Notons également que cette attaque persistera même si la victime décide de formater son disque dur. M. Chen a contacté la firme de Cupertino à ce sujet et souhaiterait qu'Apple corrige le logiciel du clavier en empêchant toute modification ultérieure. Il explique que la société aurait la fâcheuse tendance à dévoiler de nouveaux matériels très vite sur le marché accompagnés de versions non achevées des logiciels internes pour ensuite les mettre à jour régulièrement.

Retrouvez une description complète de ce hack ici (PDF), ainsi qu'une vidéo de démonstration.