Ulf Frisk vient de publier une méthode d’attaque DMA « pre-boot » sur MacOS. Attaque combinée avec le fait que le container à mots de passe résidant en mémoire n’est pas (n’était pas) chiffré. Le source de l’exploit est disponible sur Github, l’extension matérielle nécessaire à l’attaque (celle qui permet d’extraire les mots de passe en quasi-temps réel), se trouve aisément « en ligne ». Il ne s’agit que d’une interface pci-e/USB3.0 utilisant un composant Abacom. Ceux pour qui la soudure d’un boîtier QFN pose quelques problèmes peuvent se rabattre sur une carte de développement vendue aux environs de 225 USD (contre 18 dollars pour le composant seul).
Une courte vidéo de démonstration, à voir sur le site de l’auteur, remet au goût du jour le principe de l’attaque « Evil Maid ». Doit-on préciser que la dernière mise à jour du système d’Apple tient compte de cette vulnérabilité et la comble ?